Sur IIS 7.0 integrated mode après avoir supprimé tous les en-têtes avec Response.ClearHeaders() IIS ajouterait d'autres en-têtes comme Server y X-Powered-By qui révèle de bonnes informations aux pirates. Comment puis-je arrêter ce comportement (en considérant que je dois toujours ajouter mes en-têtes personnalisés) ?
Réponses
Trop de publicités?
Lex Li
Points
18214
URLScan peut être utilisé pour supprimer l'en-tête du serveur, ou configurer un autre en-tête de serveur, http://learn.iis.net/page.aspx/938/urlscan-3-reference/
Mais cela n'empêche jamais vraiment un pirate de savoir ce que vous utilisez en fait. Il existe évidemment d'autres moyens de détecter les informations de votre serveur.
Luftwaffe
Points
1550
Vous pouvez utiliser appcmd.exe (IIS 7 et plus) pour faire votre travail. Le script sera comme ceci :
C:\Windows\System32\inetsrv\appcmd.exe set config -section:system.webserver/httpProtocol /-customHeaders.["name='X-Powered-By'"] /commit:apphost /commit:apphost : Ceci engage les paramètres de configuration dans la section d'emplacement appropriée dans le fichier ApplicationHost.config.
Je crée généralement un fichier batch de tous ces scripts que j'exécute sur le serveur web après l'installation de l'application.
Pour les applications ASP.NET MVC, l'approche est différente et vous pouvez vous référer aux autres réponses données ici.
- Réponses précédentes
- Plus de réponses
