网站安全等保测评(下)

最新推荐文章于 2023-11-15 11:10:00 发布
最新推荐文章于 2023-11-15 11:10:00 发布
阅读量627 收藏 3
点赞数
分类专栏: IIS 文章标签: iis web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41533659/article/details/118489475
版权

网站等保测评(上)
网站安全等保测评(下)

问题及解决方案:
问题1、拦截后台管理系统的通信数据,修改Origin信息后,系统仍能正常反应。
解决方法:添加Origin白名单,限制Origin访问。
问题2、应用系统信息泄露。
访问网站响应请求时返回了服务器的内部相关信息,导致服务器信息泄露。在这里插入图片描述
通过安装stripheader插件能完美实现:
StripHeader插件
StripHeaders 默认会移除 Server、X-Powered-By、X-AspNet-Version 等 Response Header,不需修改 web.config 就会生效。 如需移除额外 Header,则可在 web.config system.webServer/stripHeaders 中设定。

<configuration> [...]
  <system.webServer> [...]
    <stripHeaders>
      <header name="Server" /> 
      <header name="X-Powered-By" /> 
      <header name="X-Aspnet-Version" />
     </stripHeaders> 
     </system.webServer> 
     </configuration>

效果:可以看见已经没有了服务器相关信息。
在这里插入图片描述
切记,一定得清除缓存。
问题3、未禁用Opetions方法。
解决方法:禁用Opetions方法。在Web.config中<system.webServer>节点下添加以下代码:

<security>
      <requestFiltering> 
        <requestLimits maxAllowedContentLength="2147483648"/>
        <!--IIS禁用Opetions方法-->
        <verbs allowUnlisted="false">
          <add verb="GET" allowed="true"/>
          <add verb="POST" allowed="true"/>
          <add verb="HEAD" allowed="true"/>
        </verbs>
      </requestFiltering>
    </security>
喜欢看剧的小菇凉
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中间件安全IIS
qq_46085232的博客
05-10 775
中间件安全IIS配置安全PUT任意文件写入特定漏洞解析漏洞短文件漏洞HTTP.SYS远程代码执行(MS15-034)RCE&CVE-2017-7269危害 IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统,不适用于其他操作系统。 配置安全 PUT任意文件写入 IIS Server 在 Web 服务扩展中开启了 WebDAV之后,支持
网站安全防护与等保测评.ppt
11-23
网站安全防护与等保测评.ppt
信息安全等级保护测评作业指导书(IIS6.pdf
07-11
信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf
等保(其他)
jzttly的博客
09-21 691
等保
IIS等保测评操作
最新发布
qq_48257021的博客
11-15 692
IIs,等保测评操作
08.差距评估.安全计算环境之中间件安全基线
老毛的博客
02-21 1702
文章目录 本次从头梳理一下等保2.0涉及到的主要步骤: 等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。 定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。 本节继续分析安全计算环境中的中间件 ...
网络安全、金融安全、等保2.0系列等参考标准集合.zip
08-18
网络安全、金融安全、等保2.0系列等参考标准集合,共115份资料,供大家学习参阅。 所有资料存储在网盘,喜欢的可下载参阅。 一、参考安全标准 增值业务网——消息网安全防护要求 电信网和互联网安全防护管理指南 ...
网站安全防护与等保测评PPT课件.ppt
07-29
网站安全防护与等保测评PPT课件.ppt
网站安全防护与等保测评(精品文档).ppt
10-16
网站安全防护与等保测评(精品文档).ppt
安全篇 ━━ 整改php和IIS(根据安全等级保护评估、渗透测试报告)
暂时先用这个名字
10-16 6364
1、 目标URL存在http host头攻击漏洞 在代码部分注释_SERVER[“HTTP_HOST”]方法,仅留_SERVER["SERVER_NAME”] 2、 会话cookie中缺少HttpOnly属性 在代码部分开启HttpOnly 在服务器开启httpOnlyCookies为True 3、 目标X-Content-Type-Options响应头缺失 在代码部分设置X-Content-Type-Options为nosniff 在IIS设置X-Content-Type-Options为nosn
Tomcat、Apache、Nginx、IISWeblogic中间件等保测评作业指导书V1.1
07-26
等保常见中间件测评指导书(供参考),也可作为中间件加固参考使用
信息安全等级保护测评作业指导书(IIS6 (2).pdf
07-11
信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf
等保3级服务器安全配置规范.rar
09-04
Apache安全配置规范v1.0IIS服务安全配置规范v1.0Linux安全配置规范v1.0
IIS日志分析工具
04-24
IIS日志分析工具,分析IIS日志。IIS日志格式化
一项一项教你测等保2.0——Windows入侵防范
荒野求生的博客
09-27 3383
一项一项教你测等保2.0——Windows入侵防范 原创科技兴2020-09-23 18:32:55 一、前言 随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多..
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx)
lza20001103的博客
08-18 4182
渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx) m0be1 Hacking黑白红 2022-06-13 23:47 发表于安徽 文章目录渗透测试-WEB安全梳理-中间件(apache、IIS、tomcat、weblogic、websphere、jboos、nginx)目录中间件Apache一、Apac
等保测评—tomcat中间件
m0_52527037的博客
05-06 2281
退出到总目录进入到logs日志目录一般看开头30行head,结尾30行tail ,查找到最新的日志查看日志(一般为含有access/error,txt结尾)(默认保存时间为永久保存,如果进行了修改可以查看conf目录下的server.xml 搜索maxday)设置 catalina 日志的级别为FINE,设置 localhost日志的级别为FINE,设置manager日志的级别为FINE,设置host-manager日志的级别为FINE;回到bin文件夹输入./version.sh查看系统。
网络安全等保知识梳理
09-02
网络安全等保知识的梳理可以包括以下几个方面: 1. 物理安全:确保网络设备所处的场地和设备本身的安全。包括设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰和电源保护等。 2. 技术安全:在控制点上增加网络恶意代码防范、剩余信息保护和抗抵赖等措施。这些措施可以提高网络的安全性,防止网络遭受恶意攻击和数据泄露。 3. 管理安全:包括系统备案、安全测评、监控管理和安全管理中心等控制点。通过这些管理措施,可以对网络进行全面的监控和管理,及时发现并应对潜在的安全威胁。 4. 堡垒机:也称为运维安全审计系统,它的核心功能是4A,即身份验证、账号管理、授权控制和安全审计。堡垒机可以有效地管理和控制用户的访问权限,提高系统的安全性。 以上是网络安全等保知识的梳理。通过物理安全、技术安全、管理安全和堡垒机等方面的措施,可以提高网络的安全性,保护重要数据和系统免受恶意攻击。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [干货-等保三级的三个必备知识(整理精华梳理)](https://download.csdn.net/download/zhou040803/12053564)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [等保知识点总结](https://blog.csdn.net/weixin_44839866/article/details/119941020)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值