Removed Default Error Page that Show IIS (Custom Error Page)
Default Error คือการแสดงผลจากหน้า Website เพื่อบอกว่ามีการใช้งาน Web Server รุ่นอะไรอยู่ Admin ควรจะต้องปิดเพื่อไม่ให้ Hacker เห็นจะได้โจมตียากขึ้น จากรูปที่แสดงด้านล่างเป็น Default Config ของ IIS ทำให้เห็นว่าใช้ IIS Version อะไร และติดตั้งอยู่ที่ Path ไหน
วิธีปิดแก้ได้ 2 ที่คือ สร้างไฟล์ Error พิเศษขึ้นมาเพื่อให้แสดงผลน้อยลง
1. แก้ไขที่ไฟล์ Web.config ให้แสดงผล Error ไปยังไฟล์อื่น
ตัวอย่าง
<configuration>
<system.web>
<customErrors mode=”On” defaultRedirect=”apperror.aspx”>
<error statusCode=”404″ redirect=”404.aspx” />
<error statusCode=”500″ redirect=”500.aspx” />
</customErrors>
</system.web>
</configuration>
2. ให้ชี้ Error ไปที่ File อื่นแทน
ผมสร้างไฟล์ 404.htm แล้วเขียน Custom error ว่าแค่ 404 ครับ จะได้ไม่เห็นข้อมูลอะไรบน Server มาก
เวลาที่ Server Error ก็จะ Reply Information แค่นี้
การปรับแต่งเพื่อ ซ่อน IIS Signature หรือ Banner
วิธีลบ Remove X-Powered By ASP.NET Http Header
ที่ HTTP Response Headers จะต้องไม่มี X-Powered By ASP.NET ถ้ามีให้กด Remove ออกได้เลย
หรือจะใส่ค่าหลอกให้เป็นอย่างอื่นก็ได้เช่น
อันนี้ลองแกล้งเปลี่ยนเป็น Apache Web Server ดูครับ
ลองตรวจสอบด้วยโปรแกรม Google Chrome ที่ติดตั้ง Plugin HTTP Headers จะพบแบบนี้ครับ
