网站等保测评(上)
网站安全等保测评(下)
问题及解决方案:
问题1、拦截后台管理系统的通信数据,修改Origin信息后,系统仍能正常反应。
解决方法:添加Origin白名单,限制Origin访问。
问题2、应用系统信息泄露。
访问网站响应请求时返回了服务器的内部相关信息,导致服务器信息泄露。
通过安装stripheader插件能完美实现:
StripHeader插件
StripHeaders 默认会移除 Server、X-Powered-By、X-AspNet-Version 等 Response Header,不需修改 web.config 就会生效。 如需移除额外 Header,则可在 web.config system.webServer/stripHeaders 中设定。
<configuration> [...]
<system.webServer> [...]
<stripHeaders>
<header name="Server" />
<header name="X-Powered-By" />
<header name="X-Aspnet-Version" />
</stripHeaders>
</system.webServer>
</configuration>
效果:可以看见已经没有了服务器相关信息。
切记,一定得清除缓存。
问题3、未禁用Opetions方法。
解决方法:禁用Opetions方法。在Web.config中<system.webServer>节点下添加以下代码:
<security>
<requestFiltering>
<requestLimits maxAllowedContentLength="2147483648"/>
<!--IIS禁用Opetions方法-->
<verbs allowUnlisted="false">
<add verb="GET" allowed="true"/>
<add verb="POST" allowed="true"/>
<add verb="HEAD" allowed="true"/>
</verbs>
</requestFiltering>
</security>