Jak wiadomo, w nagłówku http wysyłane jest w wiele informacji które określają parametry pracy transakcji. Jednym z kroków jaki powinien zostać wykonany podczas 'wypuszczania' w świat strony www na serwerze IIS jest ukrycie m.in. takich informacji jak wersja serwera www. Jak wiadomo, im więcej takich informacji upublicznimy, tym bardziej narażamy nasz system na potencjalny atak.
W tym poście opiszę jak ukryć i wysłać nieprawdziwe dane o naszym serwerze www oraz jak ukryć wersję ASP.NET w nagłówku.
Aby ukryć dane o naszym serwerze posłużę się narzędziem URLScan 3.1. Narzędzie do pobrania na stronie http://www.iis.net/download/urlscan
Po prostej instalacji, wszystkie pliki- biblioteki i plik konfiguracyjny znajduje się w %windir%\system32\inetsrv\UrlScan.
Nas przede wszystkim interesuje plik UrlScan.ini. Znajdziemy w nim m.in. opcję RemoveServerHeader. Domyślnie wartość ustawiona jest na 0, co oznacza że udostępniamy informacje o serwerze.
Wprowadzamy wartość 1 i oczywiście zapisujemy zmiany. URLScan od wersji 3.0 nie wymaga restartu serwera www po wprowadzeniu zmian.
Przed zmianą:
Po zmianie:
URLScan umożliwia również wyświetlenie alternatywnych informacji o naszym serwerze. Inaczej mówiąc, możemy wprowadzić w błąd potencjalnych atakujących nieprawdziwą informacją o serwerze, wykorzystując opcję AlternateServerName. W tym miejscu wprowadzamy np. wartość Apache/2.0.53 (Ubuntu). Od tej chwili w nagłówku wyświetlane będzie info,że używamy serwer Apache.
Jak widać wyżej, w naszym nagłówku pojawia się również informacja o wersji ASP.NET, co również wpływa na obniżenie bezpieczeństwa. Aby ukryć wersję ASP.NET musimy posłuzyć się już wyłącznie plikiem konfiguracyjnym IIS- web.config, znajdującym się w /inetpub/wwwroot/. W sekcji <system.web> dopisujemy linię <httpRuntime enableVersionHeader="false" />
W tym poście opiszę jak ukryć i wysłać nieprawdziwe dane o naszym serwerze www oraz jak ukryć wersję ASP.NET w nagłówku.
Aby ukryć dane o naszym serwerze posłużę się narzędziem URLScan 3.1. Narzędzie do pobrania na stronie http://www.iis.net/download/urlscan
Po prostej instalacji, wszystkie pliki- biblioteki i plik konfiguracyjny znajduje się w %windir%\system32\inetsrv\UrlScan.
Nas przede wszystkim interesuje plik UrlScan.ini. Znajdziemy w nim m.in. opcję RemoveServerHeader. Domyślnie wartość ustawiona jest na 0, co oznacza że udostępniamy informacje o serwerze.
Wprowadzamy wartość 1 i oczywiście zapisujemy zmiany. URLScan od wersji 3.0 nie wymaga restartu serwera www po wprowadzeniu zmian.
Przed zmianą:
...
Server Microsoft-IIS/7.5
Cache-Control private
Content-Type text/html; charset=utf-8
X-AspNet-Version 2.0.50727
...
Po zmianie:
...
Cache-Control private
Content-Type text/html; charset=utf-8
X-AspNet-Version 2.0.50727
...
URLScan umożliwia również wyświetlenie alternatywnych informacji o naszym serwerze. Inaczej mówiąc, możemy wprowadzić w błąd potencjalnych atakujących nieprawdziwą informacją o serwerze, wykorzystując opcję AlternateServerName. W tym miejscu wprowadzamy np. wartość Apache/2.0.53 (Ubuntu). Od tej chwili w nagłówku wyświetlane będzie info,że używamy serwer Apache.
Jak widać wyżej, w naszym nagłówku pojawia się również informacja o wersji ASP.NET, co również wpływa na obniżenie bezpieczeństwa. Aby ukryć wersję ASP.NET musimy posłuzyć się już wyłącznie plikiem konfiguracyjnym IIS- web.config, znajdującym się w /inetpub/wwwroot/. W sekcji <system.web> dopisujemy linię <httpRuntime enableVersionHeader="false" />
Brak komentarzy:
Prześlij komentarz