Je me frotte à un soucis avec un serveur IIS 6 sur un Windows Server 2003 (oui je sais, obsolète, en cours de migration). Ce IIS héberge une très vieille appli web (ce qui explique que le serveur est vieux aussi, pas de rétrocompatibilité) dont on cherche à limiter les fuites.
Différents audits l'ont montré comme étant toujours assez robuste, mais elle expose à internet des numéros de version de serveur et d'ASP qui facilitent le travail de l'attaquant. Pour retirer ces headers HTTP j'ai contacté l'admin du serveur, qui a retiré, par exemple, l'en-tête X-Powered-By de la liste des headers dans HTTP.
Problème : sur le site en production le header apparait toujours. Lorsqu'on se connecte à l'appli, on accède à l'URL https://machin.ext (exemple), sur laquelle on retrouve notre X-Powered-By, ainsi qu'un header content-location qui pointe sur https://machin.ext/blabla.html. Sur ce fameux blabla.htmlen revanche, tous les headers problématiques ont bien été retirés.
Comment puis-je virer les headers de la page machin.ext ?
- Edité par Anonyme 19 février 2019 à 10:04:34
Retrait de headers HTTP
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
