먼저 IIS 6에서 클라이언트에 반환하는 내용을 확인하십시오. Microsoft.com에 요청을 보내면 서버는 다음과 유사한 내용을 반환합니다.
HTTP/1.1 200 OK
Cache-Control: public
Content-Length: 13073
Content-Type: text/html
Expires: Fri, 08 Oct 2004 18:23:35 GMT
Last-Modified: Fri, 08 Oct 2004 15:36:55 GMT
Server: Microsoft-IIS/6.0
X-AspNet-Version: 1.1.4322
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA _
PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
X-Powered-By: ASP.NET
Date: Fri, 08 Oct 2004 15:56:26 GMT
굵은 글꼴로 표시된 서버 배너는 이름 그대로 명확하게 IIS 6.0 서버를 나타냅니다. 일부 보안 전문가는 공격자가 연결을 시도할 때 웹 서버의 종류를 쉽게 파악할 수 없도록 이 배너를 제거할 것을 권장합니다. 이렇게 하면 배너를 수집한 후 되돌아가서 해당 배너의 서버를 공격하는 스크립트 키디 엔진(script kiddie engine)으로부터 어느 정도 서버를 보호할 수 있습니다.
위의 서버 응답에는 X-ASPNet-Version 번호와 X-Powered-by: ASP.NET을 포함해 Microsoft 서버로 식별하는 많은 항목이 포함되어 있습니다.
이러한 태그는 ASP.net이 설치될 때 추가되어 IIS 5와 IIS 6 서버에 표시됩니다. 또한 FrontPage Server Extensions를 설치한 경우에는 Microsoft Office Web Server에 액세스했음을 알려주는 헤더가 표시됩니다.
이러한 추가 헤더는 IIS 콘솔의 HTTP 헤더 탭에서 제거할 수 있습니다. 이로 인해 FrontPage에 문제가 발생할 수 있는지 여부는 테스트해 보지 않았지만 무엇보다 기능에 영향을 주지 않아야 합니다.
서버 헤더와 추가 기능 태그를 제거하면 공격자는 Asp 또는 ASP.net 페이지를 제공한다는 사실로 IIS 서버임을 추측해야 합니다. 그러나 이러한 추측 작업은 어렵지 않습니다. 이 외에도 사용 중인 서버의 종류를 쉽게 파악할 수 있는 방법이 있습니다.
따라서 여기서는 서버 배너를 제거하거나 모호하게 하는 데 큰 의미를 두지 않습니다.
IIS 6에서 서버 배너를 제거하려면 다음 레지스트리 값을 1로 설정하면 됩니다.
HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parpameters\
DisableServerHeader
IIS 5에서 배너를 제거할 때는 URLScan을 사용해 URLScan.ini 파일의 RemoveServerHeader 설정을 조정하면 됩니다.
2005/03/11
IIS 6에서 서버 배너 제거
가장 많이 본 글
-
구글... 도대체 뭐하는 짓인지......?? 뭐 내용상으로는,. 누군가 Spam 이라며 신고했다는 건데, 스팸 사이트도 아니고 그럴 내용도 없다. 누군가 악의적으로 신고한것인지 ? 아니면 구글 시스템 오류인건지? 특이한건,. 같은 구글 계정으로 생성...
-
업데이트 적용 환경 : Windows Server 2022 Std, 21H2 설치 실패: 0x8024200B 오류 때문에 Windows에서 다음 업데이트를 설치하지 못했습니다. 2024-01 x64 기반 시스템용 Microsoft server oper...
-
PostgreSQL 에서 처음 dblink 를 사용하는 경우에는 dblink 라이브러리를 확장모듈에 로딩을 해놔야 함. 안그러면 알수 없는 함수라는 오류가 표시됨. -- dblink 로딩 (최초1회 > PgAdmin 에서 해당 DB의 확장모듈에...
댓글 없음:
댓글 쓰기