网站安全等保测评(下)

最新推荐文章于 2024-08-20 15:23:55 发布
最新推荐文章于 2024-08-20 15:23:55 发布
阅读量674 收藏 3
点赞数
分类专栏: IIS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41533659/article/details/118489475
版权

iis web

网站等保测评(上)
网站安全等保测评(下)

问题及解决方案:
问题1、拦截后台管理系统的通信数据,修改Origin信息后,系统仍能正常反应。
解决方法:添加Origin白名单,限制Origin访问。
问题2、应用系统信息泄露。
访问网站响应请求时返回了服务器的内部相关信息,导致服务器信息泄露。在这里插入图片描述
通过安装stripheader插件能完美实现:
StripHeader插件
StripHeaders 默认会移除 Server、X-Powered-By、X-AspNet-Version 等 Response Header,不需修改 web.config 就会生效。 如需移除额外 Header,则可在 web.config system.webServer/stripHeaders 中设定。

<configuration> [...]
  <system.webServer> [...]
    <stripHeaders>
      <header name="Server" /> 
      <header name="X-Powered-By" /> 
      <header name="X-Aspnet-Version" />
     </stripHeaders> 
     </system.webServer> 
     </configuration>

效果:可以看见已经没有了服务器相关信息。
在这里插入图片描述
切记,一定得清除缓存。
问题3、未禁用Opetions方法。
解决方法:禁用Opetions方法。在Web.config中<system.webServer>节点下添加以下代码:

<security>
      <requestFiltering> 
        <requestLimits maxAllowedContentLength="2147483648"/>
        <!--IIS禁用Opetions方法-->
        <verbs allowUnlisted="false">
          <add verb="GET" allowed="true"/>
          <add verb="POST" allowed="true"/>
          <add verb="HEAD" allowed="true"/>
        </verbs>
      </requestFiltering>
    </security>
喜欢看剧的小菇凉
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全-等保测评_db2等保测评命令
2401_84297899的博客
04-28 968
— | — || 系统管理员 | 菜单管理、参数管理、角色设置、组织机构管理、用户的运维管理(只能修改和重置密码,不能新建和删除)、不允许查看审计日志 || 安全管理员 | 用户权限的分配(可以分配业务角色)、可以新建和删除用户、不可修改用户信息;不允许查看审计日志 || 审计管理员 | 只允许查看审计日志,监督系统管理员和安全管理员的操作行为 |系统管理员、安全保密管理员和安全审计员分别承担本单位涉密信息系统的日常运行维护(配置)、安全保密管理(授权)及安全审计(审计)工作。
IIS等保测评操作
qq_48257021的博客
11-15 1219
IIs,等保测评操作
Tomcat、Apache、Nginx、IISWeblogic中间件等保测评作业指导书V1.1
07-26
等保常见中间件测评指导书(供参考),也可作为中间件加固参考使用
网站安全性评估方法
2301_79955948的博客
06-10 357
然而,需要强调的是,网站安全风险评估是一个持续性的过程,而不是一次性的活动。随着网络环境的变化和安全威胁的不断演变,网站安全性也需要不断地进行评估和提升。评估一个网站安全性是一个多方面的过程,涉及到对网站的技术架构、代码质量、数据处理、用户交互等多个维度的考察。2.查看网站安全证书:SSL证书和HSTS证书是判断网站是否使用了加密通信的重要标志,可以保护用户的个人信息和交易数据。7.检查网站的配置:确保网站服务器和应用程序的配置遵循安全最佳实践,包括文件和目录权限、服务器硬化和网络防火墙设置。
信息安全等级保护测评作业指导书(IIS6.pdf
07-11
信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf信息安全等级保护测评作业指导书(IIS6.pdf
信息安全等级保护测评作业指导书(IIS6 (2).pdf
07-11
信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf信息安全等级保护测评作业指导书(IIS6 (2).pdf
信息安全等级保护测评作业指导书(IIS6.0).doc
08-23
信息安全等级保护测评作业指导书(IIS6.0)
等保(其他)
jzttly的博客
09-21 746
等保
网站安全防护与等保测评.ppt
11-23
网站安全防护与等保测评.ppt
网站安全防护与等保测评PPT课件.ppt
07-29
网站安全防护与等保测评PPT课件.ppt
Web安全-等保测评_db2等保测评命令(2)
2401_84297796的博客
04-28 994
和之前的由DBA管理用户权限不同的是,他们在数据库原有的权限管理之外,对数据的访问控制做更周密和灵活的规则设置。我们想象一下,如果有人可以执行管理数据的操作,有人负责控制管理数据的规则,另外还有人监督和审计前两类人的行为,那么权力过度集中的问题就可以通过互相制约被解决。这些超级用户是数据库创建过程中的缺省用户,可以认为是数据库中的“造物主”,因为所有新的用户都是由他们创建的。但是过度集中的权力都会带来问题,当超级用户拥有最高权力的时候,意味着他或她可以做任何想做的事,而且可以不留下任何痕迹。
等保3级服务器安全配置规范.rar
09-04
Apache安全配置规范v1.0IIS服务安全配置规范v1.0Linux安全配置规范v1.0
网站安全等保测评(上)
qq_41533659的博客
07-05 1373
最近一直协助客户完成网站安全等保测评,从中学到了不少,先记录下来,以后估计会用到。
中间件安全IIS
qq_46085232的博客
05-10 884
中间件安全IIS配置安全PUT任意文件写入特定漏洞解析漏洞短文件漏洞HTTP.SYS远程代码执行(MS15-034)RCE&CVE-2017-7269危害 IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统,不适用于其他操作系统。 配置安全 PUT任意文件写入 IIS Server 在 Web 服务扩展中开启了 WebDAV之后,支持
iis中间件_浅谈中间件漏洞与防护
weixin_39988888的博客
12-01 418
  中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。那么从实际情况来看,预防这种漏洞最大的难点,在于中间件安全该由谁负责?  我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重...
08.差距评估.安全计算环境之中间件安全基线
老毛的博客
02-21 1840
文章目录 本次从头梳理一下等保2.0涉及到的主要步骤: 等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。 定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。 本节继续分析安全计算环境中的中间件 ...
等保测评IIS模拟测评
最新发布
weixin_54799594的博客
08-20 825
IIS中间件模拟测评结果记录
中间件安全IIS 解析漏洞.[6.0版本]
网络安全领域___专研者.
04-16 4281
中间件的概括: 中间件是指提供系统软件 和应用软件 之间连接的软件,以便于软件各部件之间的沟通,特别是应用软件对于系统软件的集中的逻辑,在现代信息技术应用框架(比如:Web服务、面向服务的体系结构等中应用比较广泛.)
一项一项教你测等保2.0——Windows入侵防范
荒野求生的博客
09-27 3819
一项一项教你测等保2.0——Windows入侵防范 原创科技兴2020-09-23 18:32:55 一、前言 随着社会的进步和科技的发展,新技术、新业务下的产品与服务不断创新与升级,云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用,使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求,并且以“勒索病毒”为代表的新型攻击席卷全球,使传统安全防护手段已经难以有效保护网络空间安全,网络安全保护体系需要全面升级,以便配合《网络安全法》的实施,下面结合我多..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值