Jak wiadomo, w nagłówku http wysyłane jest w wiele informacji które określają parametry pracy transakcji. Jednym z kroków jaki powinien zostać wykonany podczas ‘wypuszczania’ w świat strony www na serwerze IIS jest ukrycie m.in. takich informacji jak wersja serwera www. Jak wiadomo, im więcej takich informacji upublicznimy, tym bardziej narażamy nasz system na potencjalny atak.

W tym poście opiszę jak ukryć i wysłać nieprawdziwe dane o naszym serwerze www oraz jak ukryć wersję ASP.NET w nagłówku.

Aby ukryć dane o naszym serwerze posłużę się narzędziem URLScan 3.1. Narzędzie do pobrania na stronie http://www.iis.net/download/urlscan
Po prostej instalacji, wszystkie pliki- biblioteki i plik konfiguracyjny znajduje się w %windir%system32inetsrvUrlScan.
Nas przede wszystkim interesuje plik UrlScan.ini. Znajdziemy w nim m.in. opcję RemoveServerHeader. Domyślnie wartość ustawiona jest na 0, co oznacza że udostępniamy informacje o serwerze.
Wprowadzamy wartość 1 i oczywiście zapisujemy zmiany. URLScan od wersji 3.0 nie wymaga restartu serwera www po wprowadzeniu zmian.

Przed zmianą:

Po zmianie:

URLScan umożliwia również wyświetlenie alternatywnych informacji o naszym serwerze. Inaczej mówiąc, możemy wprowadzić w błąd potencjalnych atakujących nieprawdziwą informacją o serwerze, wykorzystując opcję AlternateServerName. W tym miejscu wprowadzamy np. wartość Apache/2.0.53 (Ubuntu). Od tej chwili w nagłówku wyświetlane będzie info,że używamy serwer Apache.

Jak widać wyżej, w naszym nagłówku pojawia się również informacja o wersji ASP.NET, co również wpływa na obniżenie bezpieczeństwa. Aby ukryć wersję ASP.NET musimy posłuzyć się już wyłącznie plikiem konfiguracyjnym IIS- web.config, znajdującym się w /inetpub/wwwroot/. W sekcji <system.web> dopisujemy linię <httpRuntime enableVersionHeader=”false” />