漏洞信息描述：服務器版本信息泄露

測試過程：訪問http://192.168.23.63，看返回包可以得知服務器版本信息

顯示暴露返回server版本信息

修復建議：限制返回包帶有服務器版本信息

如何隱藏IIS Web服務響應頭中的IIS Server版本信息

以下示例以IIS 10.0版本為例，為您介紹如何通過URL Rewrite組件隱藏IISWeb服務響應頭中的IIS服務版本信息。

1. 查看是否安裝URL Rewrite組件。

   1. 在您的Windows Server實例中，打開服務器管理器，單擊左側的IIS菜單。

   2. 在右側服務器區域，右鍵單擊相應的服務器名稱，然后在彈出的菜單中單擊Internet Information Services（IIS）管理器。

      

   3. 在打開的Internet Information Services（IIS）管理器頁面左側，單擊您想要管理的服務器名稱。如果在右側IIS頁簽中找到URL Rewrite組件，則表明已安裝URL Rewrite組件。如未找到，請參閱微軟官方文檔安裝URL Rewrite組件，具體操作，請參見URL Rewrite : The Official Microsoft IIS Site。

2. 修改IIS配置文件以隱藏響應頭中的IIS版本信息。

   1. 在Internet Information Services（IIS）管理器頁面的左側依次單擊服務器名稱、網站、并最終選中您的網站，然后在右側點擊瀏覽以打開網站根目錄。

      

   2. 在網站根目錄中新建或打開web.config配置文件。

      1. 新建配置文件：請在配置文件中添加如下內容。

      2. 打開已有配置文件：請根據現有內容新增下述XML配置項，并確保修改后的配置文件符合XML格式要求。（本人是將下列<rewrite>的內容直接復制到<system.webServer>內）

<?xml version="1.0" encoding="utf-8"?>
<configuration><location path="." inheritInChildApplications="false"><system.webServer><rewrite><outboundRules><rule name="移除響應頭中的IIS SERVER版本信息"><match serverVariable="RESPONSE_SERVER" pattern=".*" /><action type="Rewrite" /></rule></outboundRules></rewrite></system.webServer></location>
</configuration>

?

3.驗證配置是否生效。

通過瀏覽器訪問網站頁面，并使用開發者工具查看響應頭中的IIS SERVER版本信息是否為空。如下圖所示，表明配置生效。

測試步驟為：在瀏覽器中打開網址，然后在network中查看，如下：