.Net IIS 常用安全漏洞设置

最新推荐文章于 2024-06-04 10:00:00 发布
最新推荐文章于 2024-06-04 10:00:00 发布
阅读量3.3k 收藏 4
点赞数
文章标签: 安全 漏洞 .Net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oceanzh/article/details/80511495
版权

安全选项

配置点

屏蔽 OPTIONS, TRACE Http响应

 

<system.webServer>

<security>

      <requestFiltering>

        <verbsallowUnlisted="true">

          <addverb="OPTIONS"allowed="false"/>

          <addverb="TRACE"allowed="false"/>

        </verbs>

      </requestFiltering>

    </security>

</system.webServer>

添加安全头标识

<system.webServer>

<httpProtocol>     

      <customHeaders>

        <addname="X-Frame-Options"value="SAMEORIGIN" />

        <addname="X-XSS-Protection"value="1; mode=block" />

        <addname="X-Content-Type-Options"value="nosniff" />

        <addname="Strict-Transport-Security"value="max-age=31536000; includeSubDomains" />

        <removename="X-Powered-By" />

        <addname="Cache-Control"value="no-cache, no-store" />

        <addname="Pragma"value="no-cache" />

      </customHeaders>

</httpProtocol>

</system.webServer>

 

关闭IIS Server版本 ; 需要安装IIS插件 URLRewrite才生效

<system.webServer>

<rewrite>

      <outboundRules>

        <rulename="replace server header"patternSyntax="Wildcard">

          <matchserverVariable="RESPONSE_SERVER"pattern="*"/>

          <actiontype="Rewrite"value=""/>

        </rule>

      </outboundRules>

    </rewrite>

   

  </system.webServer>

将目录访问的无权403错误都转成 404 页面

  <system.webServer>

<handlers>

      <addname="StopDirectoryBrowsing"path="*."resourceType="Directory"verb="*"

           preCondition="integratedMode"type="System.Web.HttpNotFoundHandler" />

</handlers>

</system.webServer>

<system.webServer>  

 <httpErrorserrorMode="Custom">

        <removestatusCode="403" />

        <errorstatusCode="403"path="ErrorPage.html"responseMode="ExecuteURL" />

      </httpErrors>    </system.webServer>

 

关闭ASP.Net版本号

<system.web>

<httpRuntime enableVersionHeader="false" >

</system.web>

加密Viewstatus

 

<system.web>

<machineKeyvalidation="AES" />

</system.web>

任何时候避免出现服务器错误,打开自定义的出错页面,所有出错跳转到一个自定义的错误

<customErrorsmode="On"defaultRedirect="customerErr.html"/>

Jquery-1.8.0.js 有安全问题

更新更高版本的jQuery 库

提交内容有明文传递

需要改为Https://才能解决

Weak SSL Cipher

关闭弱安全协议SSL2.0,SSL3.0 用工具IISCrypto.exe


oceanzh
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS中常见的十八个安全漏洞
03-04
IIS4hack缓冲溢出主要存在于.htr,.idc和.stm文件中,其对关于这些文件的URL请求没有对名字进行充分的边界检查,导致运行攻击者插入一些后门程序 在系统中下载和执行程序。
iis 7.5 php 防止跨站,iis安全---防范XSS跨站式脚本攻击
weixin_35594924的博客
03-19 414
iis安全---防范XSS跨站式脚本攻击网站要怎么防范常见的XSS跨站式脚本攻击呢,我们先从XSS跨站式脚本攻击的原理来说起。网站遭受XSS跨站式脚本攻击的基本原理1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:A给B发送一个恶意构造了Web的URL。B点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。具有漏洞的H...
【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全
最新发布
A_991128a的博客
06-04 694
环境下的网站存在响应头缺失漏洞如下1、检测到目标X-Content-Type-Options响应头缺失2、检测到目标X-XSS-Protection响应头缺失3、检测到目标Content-Security-Policy响应头缺失 IIS设置4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS
了解XSS漏洞,避免被恶意攻击
zzhongcy的专栏
04-08 987
最近公司安全小组,检查到公司一个项目出现了XSS漏洞,要项目开发人员赶紧进行修复。我查了查资料,这里记录一下。 1、XSS是什么 XSS是跨站脚本攻击(Cross-Site Scripting)的简称。 XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中,当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,...
token的应用场景
Rad的博客
07-20 7146
1.基于Token的身份验证 之前Web就是文档的浏览,不需要记录谁浏览了什么文档,随着交互式Web应用的兴起,像电子商城等网站,就需要知道那些人登录了系统。由于http是无状态的会话,所以我们需要一个东西来记录。 我们目前使用的是三种: (1)session:在服务器端记录,每一个会话会产生一个session id。session的中文翻译是“会话”,当用户打开某个...
IIS安全设置的六个技巧
06-03
IIS安全设置的六个技巧 IIS 安全设置是非常重要的一环,以下六个技巧将帮助您轻松掌握 IIS 安全设置的技巧,对 IIS安全和各方面有更进一步的人认识。 技巧 1、安装系统补丁 安装系统补丁是 IIS 安全设置的第一...
ASP.NET安全和加密
09-25
ASP.NET提供异常处理机制,可以捕获并优雅地处理错误,同时记录详细日志,帮助开发者识别和修复安全漏洞。 8. **HTTPS与SSL/TLS**:使用HTTPS可以加密HTTP通信,保护用户数据不被中间人窃取。ASP.NET支持配置应用...
ASP.NET 安全应用程序开发
05-15
定期进行代码审查可以发现潜在的安全漏洞,而安全测试如渗透测试和模糊测试则可以帮助找出并修复问题。开发者应使用如OWASP ZAP、Nessus等工具进行自动化安全扫描,并配合人工审查以提高安全性。 七、异常处理与...
基于ASP.NET的在线考试系统源码.zip
08-28
在ASP.NET中,常用的关系型数据库管理系统(RDBMS)包括SQL Server和MySQL。开发者可能使用ADO.NET,这是.NET Framework提供的数据库访问组件,它可以方便地连接、查询和操作数据库。 【身份验证与授权】 对于一个...
asp.net知识库
06-18
也谈 ASP.NET 1.1 中 QueryString 的安全获取写法 ASP.NET运行模式:PageHandlerFactory 利用搜索引擎引用来高亮页面关键字 网站首页的自动语言切换 应用系统的多语言支持 (一) 应用系统的多语言支持 (二) 自动...
iis 漏洞扫描和利用工具
03-06
iis 漏洞扫描和利用工具,相当好用。多种漏洞利用方式可以选择,可以试试看哦!
【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
chengwa9834的博客
06-09 318
最近一直刷新AppScan的下限,对于Appscan报出的中危漏洞“启用不安全的HTTP方法”。分析了其扫描机制,以及处理方法和绕开方法。如果不耐烦看分析过程,请直接跳到文章最后看处理方法。 0. 漏洞背景 “启用了不安全的 HTTP 方法”属于“中”危漏洞...
4.1.HTTP网络请求原理
深情小建
09-18 654
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
XSS防注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4353
一、什么是 XSS ? XSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
与http头安全相关的安全选项
hl1293348082的专栏
04-10 746
由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性。 下面就简单介绍一下这些安全头的含义以及效果。 X-Frame-Options X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>,<iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了
网络攻击(SQL攻击、XSS、CSRF、DDos)
哈尼熊熊的博客
03-14 4099
1)   SQL注入攻击(SQLInjection)攻击方法: 攻击者在HTTP请求中注入恶意SQL命令,服务器用请求参数构造数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。防范方法: 1.      检查变量数据类型和格式,过滤特殊语句和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如:drop table 等。2.   ...
如何防止XSS攻击
qq_36752945的博客
07-20 7685
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
asp.net iis 部署
08-16
将ASP.NET Core Web应用程序部署到IIS的步骤如下: 1. 确保您的服务器已安装.NET Core运行时和IIS。 2. 在IIS中创建一个新的网站或应用程序池。 3. 将ASP.NET Core Web应用程序发布到本地文件夹。 4. 在IIS中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值