360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
提示轻微

IIS版本号可以被识别

WASC Threat Classification

发现时间:

2015-09-14

漏洞类型:

配置错误

所属建站程序:

其他

所属服务器类型:

IIS

所属编程语言:

其他

描述:

目标服务器IIS版本号可以被识别。

微软IIS服务器版本号可以被识别,可以攻击者用来收集更多的信息

危害:

攻击者可能通过IIS版本号利用对应的已知IIS漏洞——IIS4\IIS5 CGI环境块伪造漏洞、IIS 7.0/7.5服务器PHP解析漏洞等来进行针对性攻击,并且可以通过IIS版本号推测出当前使用操作系统的版本从而利用已知的OS漏洞进行更加多样化的攻击

解决方案:

1.在IIS配置文件中进行修改。

借助IIS URL Rewrite Module,添加如下的重写规则:

<rewrite>
        <allowedServerVariables>
            <add name="REMOTE_ADDR" />
        allowedServerVariables>            
        <outboundRules>
            <rule name="REMOVE_RESPONSE_SERVER">
                <match serverVariable="RESPONSE_SERVER" pattern=".*" />
                <action type="Rewrite" />
            rule>
        outboundRules>
rewrite>
重写规则存放在C:\Windows\System32\inetsrv\config\applicationHost.config中。

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论