Недавно у нас был сторонний аудитор, который провел тест на проникновение на нашем веб-сервере MS 2008, который выявил уязвимость удаленного обнаружения ОС. Он обнаружил ОС, а также версию IIS.
Аудиторы рекомендовали: «Если возможно, настроить веб-сервер так, чтобы он не отображал идентифицируемую информацию в баннерах».
Я провел довольно много исследований и не смог найти простого способа, который позволил бы мне быстро заблокировать эту информацию от обнаружения.
Кто-нибудь знает, как это сделать? Это то, что нужно настроить / запретить на уровне сервера или веб-приложения в коде?
Вы можете (среди других функций) удалить Server: заголовок из HTTP-ответов с UrlScan. Увидеть ссылка на конфигурацию для вариантов.
Чтобы удалить X-Powered-By: заголовок, в диспетчере IIS выберите Заголовок ответа HTTP функция и удалите запись ASP.NET