我们的一个应用程序由Whitehat Sentinel测试,他们的一个发现是,在某些情况下,我们的服务器响应标头设置为:
微软HTTPAPI / 2.0
我尝试访问他们使用Postman和Fiddler识别的URL,但我没有看到Server标头。我还尝试过在线网络嗅探器http://web-sniffer.net/
有人可以建议我如何看到这个标题吗?
在Chrome网络标签中,我看到了这些标题
HTTP/1.1 404 Not Found
Content-Type: text/html
Strict-Transport-Security: max-age=300
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Date: Thu, 13 Jul 2017 13:59:15 GMT
Content-Length: 1245
没有服务器标题。
Whitehat报告的网址对我不起作用,我将目标网址更改为domain.com/%%,这导致请求由http.sys处理,并返回Server属性。
答案 0 :(得分:1)
这不是标题的名称。这是当应用程序通过Server
通过HTTP提供文件时在http.sys
标头中找到的值,HttpListener
是Windows内置的内核模式HTTP服务器。
例如,当通过C#Server: Microsoft-HTTPAPI/2.0
提供文件时,我得到了这个标题:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
可以通过设置以下注册表值来禁用此标头:
DisableServerHeader
DWORD
1
SecItemCopyMatching