2 2 2009
ASP.NET 서버 정보 방지 기초
아주 기본적인 서버 정보를 웹 서버 응답에서 제거하는 방법이다.
기본적으로 IIS 웹 서버는 다음과 같이 응답한다.
HTTP/1.1 200 OK
Cache-Control: private
Content-Length: 1234
Content-Type: text/html; charset=utf-8
Set-Cookie: ASP.NET_SessionID=1234; path=/; HttpOnly
Date: Mon, 02 Feb 2009 05:33:41 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.1234
Connection: close
이 중에서 위의 굵고 기울림꼴로 표시된 것을 제거한다.
1. URLScan을 사용하여 IIS 버전 정보 제거
%WINDIR%\System32\Inetsrv\URLscan\URLScan.ini 파일
[Options] 안의RemoveServerHeader 값을 1로 설정명령 프롬프트에서 iisreset 실행하여 변경된 UrlScan 적용
2. IIS에서 Custom HTTP Headers 삭제
IIS 관리자에서 웹 사이트의 등록정보 중 HTTP Headers 탭안에 Custom HTTP Headers의 X-Powered-By: ASP.NET 삭제
3. ASP.NET 버전 정보 제거
web.config 파일
<system.web> 안에 <httpRuntime enableVersionHeader=”false”/> 설정
참고