1. 서버 헤더 노출 정보 점검
- Rewrite 룰을 적용하여 Server 헤더 노출 정보를 제한
<rewrite>
<outboundRules rewriteBeforeCache="true">
<rule name="Remove Server header">
<match serverVariable="RESPONSE_Server" pattern=".*" />
<action type="Rewrite" value="" />
</rule>
</outboundRules>
</rewrite>
위와 같이 Rewrite Rule로 Server 헤더 문자열을 정규표현식 /.*/ 패턴으로 매칭하여 특정 값(value="")으로 변경하여 노출되는 정보를 제한
2. IIS 설정 파일에서 httpErrors 구문 점검
(1) 커스텀으로 설정 (양호)
<system.webServer>
<httpErrors errorMode="Custom" />
</system.webServer>
- 에러 페이지 설정이 커스텀으로 상세 메시지가 노출되지 않는 설정
(2) 로컬만 커스텀으로 설정(양호)
<system.webServer>
<httpErrors errorMode="DetailedLocalOnly" />
</system.webServer>
- 상세 에러 페이지가 로컬에서 접근했을 때만 보이고, 원격에서는 상세 메시지 없는 커스텀
- 또한 이 설정이 디폴트이므로, errorMode 구문이 없다면 양호