-
[IIS 10] 헤더 정보 노출 방지하기백엔드/Windows 2019. 6. 27. 21:40728x90
헤더 정보
개발자 도구에서도 확인 가능하고, 프록시 툴에서도 쉽게 확인할 수 있는 웹 페이지의 헤더 정보는 해커들이 좋아할만한 서버의 정보들을 담고 있다.
위의 사진에서도 볼 수 있듯이 Server 태그와 X-Powered-By태그를 보면, 위 웹사이트는 IIS 10.0 버전과 PHP 7.0.33버전을 사용하여 사이트를 운영중이라는 사실을 알 수 있다.
해커들 입장에서는 위의 정보들을 활용해서 서버에 해당하는 취약점들을 더 확실히 알고 보안을 위협한다.
X-Powered-By PHP 제거
X-Powered-By에 표시되는 PHP 정보는 아래와 같이 간단히 제거 할 수 있다.
php.ini
expose_php = On → expose_php = Off
Server: Microsoft-IIS/10.0 변경
Server에 표시되는 Server 정보는 빈칸으로 두거나, 원하는 값으로 변경해야 한다.
※ URL 재작성 기능이 없다면, https://www.microsoft.com/web/downloads/platform.aspx 을 설치하여 URL 재작성 검색 후 설치하면 나타난다.
우측 메뉴 → 규칙 추가 → 아웃바운드 규칙 → 빈 규칙을 선택한다.
이후 아래와 같이 작성한다.
값에는 자신이 원하는 값을 적으면 된다.
모두 적용하면 위와 같이 깨끗한 Responese Header를 볼 수 있다.
728x90'백엔드 > Windows' 카테고리의 다른 글
[IIS 10] 강제 https redirect 시키기 (4) 2019.06.28 [IIS 10] Let's Encrypt로 https 적용하기 (1) 2019.06.28 RunHiddenConsole을 이용해 CMD Console 숨기기 (0) 2019.02.26 [Windows Desktop] 삼성 바이오스 업데이트 PHLASHNT.SYS 드라이버 로드 오류 (0) 2019.02.25 [Windows Desktop] Window XP EULA를 찾을 수 없습니다. 해결법 (1) 2019.02.24 댓글