सवाल IIS / ASP.NET प्रतिक्रिया शीर्षलेख को कैसे निकालें I


मेरे पास एक जोड़े आईआईएस / 6.0 सर्वर हैं जो सुरक्षा मुझे अनुरोध पर क्लाइंट ब्राउज़र पर भेजे गए कुछ प्रतिक्रिया शीर्षलेखों को हटाने के लिए कह रही है। वे प्रतिक्रिया शीर्षकों के माध्यम से मंच जानकारी प्रकट करने के बारे में चिंतित हैं। मैंने वेबसाइट के लिए आईआईएस कॉन्फ़िगरेशन से बाहर सभी HTTP-HEADERS को हटा दिया है (एक्स-पावर्ड-बाय या कुछ ऐसे शीर्षलेख)।

(मैं व्यक्तिगत रूप से जानता हूं कि यह जानकारी आसानी से पाई जा सकती है, भले ही यह छिपा हुआ हो, लेकिन यह मेरी कॉल नहीं है।)

शीर्षलेख मैं हटाना चाहता हूं:

  • सर्वर - माइक्रोसॉफ्ट-आईआईएस / 6.0
  • एक्स-ASPNET-संस्करण 2.0.50727

मुझे यह भी पता है कि एएसपी.नेट एमवीसी भी अपना हेडर उत्सर्जित करता है, अगर आपको पता है कि इसे कैसे हटाया जाए, तो यह सहायक होगा।

  • एक्स-AspNetMvc-संस्करण 1.0

45
2018-06-12 16:31


मूल




जवाब:


आपका सुरक्षा विभाग चाहता है कि आप सर्वर को टाइप करने के लिए कठिन बनाने के लिए ऐसा करें। यह स्वचालित हैकिंग टूल के बंधन को कम कर सकता है और लोगों को सर्वर में तोड़ने के लिए और अधिक कठिन बना सकता है।

आईआईएस के भीतर, वेब साइट गुणों को खोलें, फिर HTTP शीर्षलेख टैब पर जाएं। अधिकांश एक्स-हेडर यहां पाए और हटाए जा सकते हैं। यह अलग-अलग साइटों के लिए किया जा सकता है, या पूरे सर्वर के लिए (पेड़ में वेब साइट्स ऑब्जेक्ट के गुणों को संशोधित करें)।

सर्वर हेडर के लिए, IIS6 पर आप माइक्रोसॉफ्ट का उपयोग कर सकते हैं URLScan दूरस्थ करने के लिए उपकरण। पोर्ट 80 सॉफ्टवेयर भी एक उत्पाद कहा जाता है ServerMask वह उस पर ख्याल रखेगा, और आपके लिए बहुत कुछ।

आईआईएस 7 के लिए, एक है महान लेख सर्वर शीर्षलेख को संशोधित करने के लिए एक कस्टम मॉड्यूल का उपयोग करने पर।

ग्लोबल.एक्सएक्स में एमवीसी हेडर के लिए:

MvcHandler.DisableMvcResponseHeader = true;

32
2018-06-12 16:37



स्वीकृत उत्तर, इच्छा है कि मैं @squillman के साथ जवाब साझा कर सकता हूं। X. AspNet-Version को ठीक करने के लिए Web.config: <system.web> <httpRuntime enableVersionHeader = "false" /> </system.web> - Bryan Rehbein
एक्स हेडर हटाने से यह मेरे web.config में रखता है, इसलिए स्वयं को कुछ समय बचाएं: <system.webServer> <httpProtocol> <customHeaders> <name = "x-powered-by" /> </ customHeaders> </ httpProtocol> </system.webServer> - Broam
ब्रॉम, यह सही जवाब है ... आईआईएस 7 के लिए। सवाल आईआईएस 6 के बारे में है। इसका आईआईएस 6 पर कोई प्रभाव नहीं पड़ता है। - Anthony


बहुत अधिक जानकारी का खुलासा करने वाले सभी कस्टम शीर्षकों को हटाने के लिए - IIS 7 के लिए विधियां भिन्न हैं (दुर्भाग्य से):

शीर्षलेख का नाम: एक्स-संचालित-तक

जोड़ें:

<httpProtocol>
  <customHeaders>
    <remove name="X-Powered-By" />
  </customHeaders>
</httpProtocol>

में <system.webServer> अनुभाग।

शीर्षलेख का नाम: सर्वर

एक httpModule लागू करें जो PreSendRequestHeaders ईवेंट से Response.Headers.Remove ("सर्वर") को कॉल करके इस हेडर को स्ट्रिप करता है। इसके लिए एक और संसाधन: आईआईएस 7 पर अपने एएसपी.नेट एमवीसी वेब एप्लिकेशन को क्लोक करना

शीर्षलेख का नाम: एक्स-ASPNET-संस्करण

Web.config के httpRuntime खंड में - सेट करें:

<httpRuntime enableVersionHeader="false" />

शीर्षलेख का नाम: एक्स-AspNetMvc-संस्करण

Global.asax में Application_Start ईवेंट से - निम्न कोड निष्पादित करें (सी #):

MvcHandler.DisableMvcResponseHeader = true;

54
2018-06-14 16:58



मैं बस कुछ सटीक करना चाहता हूं: इनमें से अधिकतर चाल केवल आईआईएस> = 7 के साथ एकीकृत पाइपलाइन मोड में काम करेंगे। क्लासिक मोड में यह कुछ भी नहीं करेगा (<remove> web.config में लाइनें) या अपवाद फेंक दें (प्रतिक्रियाओं के लिए सीधी कॉल। Global.asax में हेडर, जो हेडर को हटाने का एक और समाधान है)। मैं क्लासिक मोड पर फंसे वेबसाइट पर काम कर रहा हूं और दुर्भाग्य से मैं इन शीर्षकों को हटाने में सक्षम नहीं हूं। - AFract


इसे एएसपी.NET एप्लिकेशन की वेब.कॉन्फिग फ़ाइल में डालकर एक्स-एएसपीनेट-वर्जन हेडर से छुटकारा पड़ेगा:

<system.web>
<httpRuntime enableVersionHeader="false" />
</system.web>

ध्यान दें कि system.web टैग पहले से ही फ़ाइल में मौजूद होना चाहिए। डुप्लिकेट न बनाएं, बस httpRuntime टैग जोड़ें। HttpRuntime टैग भी पहले से मौजूद हो सकता है। यदि ऐसा है, तो केवल विशेषता जोड़ें या उसके मान को सेट करें यदि यह पहले से मौजूद है।


16
2018-06-12 16:43



हालांकि यह 'संचालित' हेडर छोड़ देता है। - UpTheCreek
लेकिन जब मैं इस लाइन कोड को डालता हूं system.web मेरी वेबसाइट नीचे चला जाता है। तुम जानते हो क्यों? - neda Derakhshesh


मेरे वर्तमान प्रोजेक्ट पर "सख्त" चक्र के माध्यम से होने के नाते - मैंने हमारे द्वारा उठाए गए दृष्टिकोण के बारे में ब्लॉग किया, जिसमें निम्नलिखित शीर्षलेखों को हटाने के लिए HTTPModule शामिल है:

सर्वर,
एक्स-ASPNET-संस्करण,
एक्स-AspNetMvc-संस्करण,
एक्स-संचालित-तक

लंबित टुकड़े नीचे पुन: उत्पन्न:

लेकिन कॉन्फ़िगरेशन के माध्यम से सर्वर प्रतिक्रिया शीर्षलेख को हटाने का कोई आसान तरीका नहीं है। सौभाग्य से आईआईएस 7 में एक प्रबंधित प्लग-इन मॉड्यूल इंफ्रास्ट्रक्चर है जो आपको इसकी कार्यक्षमता को आसानी से विस्तारित करने की अनुमति देता है। HTTP प्रतिक्रिया हेडर की एक निर्दिष्ट सूची को हटाने के लिए नीचे HttpModule का स्रोत है:

namespace Zen.Core.Web.CloakIIS
{
    #region Using Directives

    using System;
    using System.Collections.Generic;
    using System.Web;

    #endregion

    /// <summary>
    /// Custom HTTP Module for Cloaking IIS7 Server Settings to allow anonymity
    /// </summary>
    public class CloakHttpHeaderModule : IHttpModule
    {
        /// <summary>
        /// List of Headers to remove
        /// </summary>
        private List<string> headersToCloak;

        /// <summary>
        /// Initializes a new instance of the <see cref="CloakHttpHeaderModule"/> class.
        /// </summary>
        public CloakHttpHeaderModule()
        {
            this.headersToCloak = new List<string>
                                      {
                                              "Server",
                                              "X-AspNet-Version",
                                              "X-AspNetMvc-Version",
                                              "X-Powered-By",
                                      };
        }

        /// <summary>
        /// Dispose the Custom HttpModule.
        /// </summary>
        public void Dispose()
        {
        }

        /// <summary>
        /// Handles the current request.
        /// </summary>
        /// <param name="context">
        /// The HttpApplication context.
        /// </param>
        public void Init(HttpApplication context)
        {
            context.PreSendRequestHeaders += this.OnPreSendRequestHeaders;
        }

        /// <summary>
        /// Remove all headers from the HTTP Response.
        /// </summary>
        /// <param name="sender">
        /// The object raising the event
        /// </param>
        /// <param name="e">
        /// The event data.
        /// </param>
        private void OnPreSendRequestHeaders(object sender, EventArgs e)
        {
            this.headersToCloak.ForEach(h => HttpContext.Current.Response.Headers.Remove(h));
        }
    }
}

सुनिश्चित करें कि आप असेंबली पर हस्ताक्षर करते हैं, फिर आप इसे अपने वेब सर्वर के जीएसी में स्थापित कर सकते हैं और बस अपने आवेदन के web.config (या यदि आप इसे वैश्विक रूप से लागू करना चाहते हैं, तो मशीन.कॉन्फिग में निम्नलिखित संशोधन करें):

<configuration>
    <system.webServer>
        <modules>
            <add name="CloakHttpHeaderModule" 
                 type="Zen.Core.Web.CloakIIS.CloakHttpHeaderModule, Zen.Core.Web.CloakIIS, 
                       Version=1.0.0.0, Culture=neutral, PublicKeyToken=<YOUR TOKEN HERE>" />
        </modules>
    </system.webServer>
</configuration>

4
2017-08-26 08:17



हेडर्स को जेनरेट करने से हेडर की पीढ़ी को दबाएं प्रतीत होता है और फिर इसे हटा दें। - realMarkusSchmidt
ऐसा लगता है कि लिंक अब मर चुका है। :-( - Danny Schoemann


मैं निम्नलिखित कोड का उपयोग करता हूं और मेरे लिए iis 7.5 काम करता है

protected void Application_PreSendRequestHeaders()
{
    Response.Headers.Remove("Server");
    Response.Headers.Remove("X-AspNet-Version");
    Response.Headers.Remove("X-AspNetMvc-Version");
}

1
2017-11-19 10:22



आपकी छवियों और सामग्री के बारे में क्या है जो कोड पाइपलाइन के माध्यम से नहीं जाते हैं? - Mark Sowul
आपने "सर्वर" में क्या रखा? क्या ऐसा होना चाहिए? Response.Headers.Remove ("सर्वर: माइक्रोसॉफ्ट-आईआईएस / 7.0"); ? या यह सर्वर होना चाहिए? कृपया सहायता कीजिए - neda Derakhshesh
मैंने बस कुछ और "सर्वर" रखा है। यदि आपका हेडर नाम अलग है तो आप इसे अलग-अलग नाम से आजमा सकते हैं। - Nasir Mahmood


चेक यह ब्लॉग। प्रतिक्रिया शीर्षलेख हटाने के लिए कोड का उपयोग न करें। यह के अनुसार अस्थिर है माइक्रोसॉफ्ट

इसके बजाय Web.config कस्टम शीर्षलेख अनुभाग का उपयोग करें:

<system.webServer>          
<httpProtocol>
    <!-- Security Hardening of HTTP response headers -->
    <customHeaders>
        <!--Sending the new X-Content-Type-Options response header with the value 'nosniff' will prevent 
                Internet Explorer from MIME-sniffing a response away from the declared content-type. -->
        <add name="X-Content-Type-Options" value="nosniff" />

        <!-- X-Frame-Options tells the browser whether you want to allow your site to be framed or not. 
                 By preventing a browser from framing your site you can defend against attacks like clickjacking. 
                 Recommended value "x-frame-options: SAMEORIGIN" -->
        <add name="X-Frame-Options" value="SAMEORIGIN" />

        <!-- Setting X-Permitted-Cross-Domain-Policies header to “master-only” will instruct Flash and PDF files that 
                 they should only read the master crossdomain.xml file from the root of the website. 
                 https://www.adobe.com/devnet/articles/crossdomain_policy_file_spec.html -->
        <add name="X-Permitted-Cross-Domain-Policies" value="master-only" />

        <!-- X-XSS-Protection sets the configuration for the cross-site scripting filter built into most browsers. 
                 Recommended value "X-XSS-Protection: 1; mode=block". -->
        <add name="X-Xss-Protection" value="1; mode=block" />

        <!-- Referrer-Policy allows a site to control how much information the browser includes with navigations away from a document and should be set by all sites. 
                 If you have sensitive information in your URLs, you don't want to forward to other domains 
                 https://scotthelme.co.uk/a-new-security-header-referrer-policy/ -->
        <add name="Referrer-Policy" value="no-referrer-when-downgrade" />

        <!-- Remove x-powered-by in the response header, required by OWASP A5:2017 - Do not disclose web server configuration -->
        <remove name="X-Powered-By" />

        <!-- Ensure the cache-control is public, some browser won't set expiration without that  -->
        <add name="Cache-Control" value="public" />
    </customHeaders>
</httpProtocol>

<!-- Prerequisite for the <rewrite> section
            Install the URL Rewrite Module on the Web Server https://www.iis.net/downloads/microsoft/url-rewrite -->
<rewrite>
    <!-- Remove Server response headers (OWASP Security Measure) -->
    <outboundRules rewriteBeforeCache="true">
        <rule name="Remove Server header">
            <match serverVariable="RESPONSE_Server" pattern=".+" />

            <!-- Use custom value for the Server info -->
            <action type="Rewrite" value="Your Custom Value Here." />
        </rule>
    </outboundRules>
</rewrite>
</system.webServer>

0
2017-08-01 18:05