漏洞信息描述：服务器版本信息泄露

测试过程：访问http://192.168.23.63，看返回包可以得知服务器版本信息

显示暴露返回server版本信息

修复建议：限制返回包带有服务器版本信息

如何隐藏IIS Web服务响应头中的IIS Server版本信息

以下示例以IIS 10.0版本为例，为您介绍如何通过URL Rewrite组件隐藏IISWeb服务响应头中的IIS服务版本信息。

1. 查看是否安装URL Rewrite组件。

   1. 在您的Windows Server实例中，打开服务器管理器，单击左侧的IIS菜单。

   2. 在右侧服务器区域，右键单击相应的服务器名称，然后在弹出的菜单中单击Internet Information Services（IIS）管理器。

      

   3. 在打开的Internet Information Services（IIS）管理器页面左侧，单击您想要管理的服务器名称。如果在右侧IIS页签中找到URL Rewrite组件，则表明已安装URL Rewrite组件。如未找到，请参阅微软官方文档安装URL Rewrite组件，具体操作，请参见URL Rewrite : The Official Microsoft IIS Site。

2. 修改IIS配置文件以隐藏响应头中的IIS版本信息。

   1. 在Internet Information Services（IIS）管理器页面的左侧依次单击服务器名称、网站、并最终选中您的网站，然后在右侧点击浏览以打开网站根目录。

      

   2. 在网站根目录中新建或打开web.config配置文件。

      1. 新建配置文件：请在配置文件中添加如下内容。

      2. 打开已有配置文件：请根据现有内容新增下述XML配置项，并确保修改后的配置文件符合XML格式要求。（本人是将下列<rewrite>的内容直接复制到<system.webServer>内）

<?xml version="1.0" encoding="utf-8"?>
<configuration><location path="." inheritInChildApplications="false"><system.webServer><rewrite><outboundRules><rule name="移除响应头中的IIS SERVER版本信息"><match serverVariable="RESPONSE_SERVER" pattern=".*" /><action type="Rewrite" /></rule></outboundRules></rewrite></system.webServer></location>
</configuration>

 

3.验证配置是否生效。

通过浏览器访问网站页面，并使用开发者工具查看响应头中的IIS SERVER版本信息是否为空。如下图所示，表明配置生效。

测试步骤为：在浏览器中打开网址，然后在network中查看，如下：