Domyślnie, dla IIS, dostajemy następujące informacje:
- wersja serwera (np. Server: Microsoft-IIS/10.0)
- wersja .NET (np. X-AspNet-Version:4.0.30319)
- wersja MVC (np. X-AspNetMvc-Version:5.2)
- informację o tym, że mamy do czynienia z ASP.NET (X-Powered-By:ASP.NET)
Usunięcie tych informacji jest ważne ze względu na automatyczne skanery. W razie 0-day'ów serwer jest nijako "automatycznie" wskazany jako cel ataków - atakujący doskonale wie, bez głębokiej analizy, z jakim serwerem i oprogramowaniem ma/może mieć do czynienia i może prowadzić dalszą analizę pod kątem błędów w infrastrukturze. Zatem nawet, jeśli aplikacja jest bezpieczna pod kątem implementacji, to zagrożona może być infrastruktura.
Brak komentarzy:
Prześlij komentarz