关于360网站安全检测的修复问题,早在之前就想统一的写一篇文章,但是一直没时间弄,也不是真的没时间,可能还是因为懒吧,所以今后还得勤快一点,所以简单的整理了一下教程,发布出来。
首先:
先解决 [轻微]IIS版本号可以被识别,关于此漏洞的修复方案如下:
1.在IIS配置文件中进行修改。
借助IIS URL Rewrite Module,添加如下的重写规则:
代码语言:javascript
复制
<rewrite>
<allowedServerVariables>
<add name="REMOTE_ADDR" />
</allowedServerVariables>
<outboundRules>
<rule name="REMOVE_RESPONSE_SERVER">
<match serverVariable="RESPONSE_SERVER" pattern=".*" />
<action type="Rewrite" />
</rule>
</outboundRules>
</rewrite>
重写规则存放在C:\Windows\System32\inetsrv\config\applicationHost.config中。
2. 移除X-AspNet-Version
在web.config的<httpRuntime>中添加enableVersionHeader="false":
代码语言:javascript
复制
<httpRuntime enableVersionHeader="false" />
3. 移除X-AspNetMvc-Version
在 Application_Start() 中添加如下代码:
代码语言:javascript
复制
protected void Application_Start()
{
MvcHandler.DisableMvcResponseHeader = true;
}
4. 移除X-Powered-By
在IIS Manager的HTTP Response Headers中移除X-Powered-By: