Language
한국어

[urlscan] RemoveServerHeader 로 IIS 버전 출력 금지

2011.11.14 11:30

박영식 조회 수:3242

windows server2003 iis 6.0에서는 registry 등록으로 제대로 적용되지 않는다.

HKLMSYSTEMCurrentControlSetServicesHTTPParpametersDisableServerHeader

위 파일을 백날 수정해 봐야, 재부팅 하고 IIS 재실행 해도 

OPTIONS / HTTP/1.0

HTTP/1.1 200 OK
Allow: OPTIONS, TRACE, GET, HEAD
Content-Length: 0
Server: Microsoft-IIS/6.0
Public: OPTIONS, TRACE, GET, HEAD, POST
X-Powered-By: ASP.NET
Date: Mon, 14 Nov 2011 02:23:49 GMT
Connection: close

위와 같이 서버 정보가 나와버린다. 그래서 urlscan을 사용해야 한다.

3.1은 http://www.microsoft.com/download/en/details.aspx?id=5017

2.5는 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=12719

에서 다운 받을 수 있다. 첨부는 2.5이며, 확인을 위한 nc.exe, .asp와 OPTIONS 메소드를 허용한 RemoverServerHeader가 1인 ini 파일이다.

1. 설치

setup.exe를 눌러 설치

1.jpg

2. 설정 파일 변경

C:WINDOWSsystem32inetsrvurlscan

위 경로에서 urlscan.ini 파일을 첨부한 파일로 대체

2.jpg3.jpg

3. urlscan 다시 실행

4.jpg5.jpg

4. nc로 확인

nc localhost 80 [엔터]

OPTIONS / HTTP/1.0 [엔터]

[엔터]

6.jpg

위와 같이 나오면 성공

 

5. 홈페이지 접속이 정상적인지 확인하고, 동작하지 않는 기능이 있을 때, urlscan.ini를 수정하거나 프로그램 추가/제거에서 urlscan을 제거합니다.


6. X-Powered-By: ASP.NET 를 통해 IIS 서버를 유추할 수 있으므로 아래 설정에서 해더도 제거하면 더 보안성을 높일 수 있다.

7.jpg