ここで 1 つ助けが必要です。私たちのサイトは、Windows サーバー 2008\IIS7.5 で実行されています。今日、サイトの PCI スキャンを行ったところ、脆弱性メッセージを下回りました。
脆弱性 : - ASP.NET の詳細なエラー メッセージが有効になっている このホストで実行されている Web サーバーは、ASP.NET アプリケーションの詳細なエラー メッセージを表示するように構成されています。これにより、サーバー上の ASP.NET アプリケーションに関する情報と、ホスト自体に関する情報が攻撃者に提供される可能性があります。ただし、ページのソースを表示すると、ドキュメントの下部に Web サーバーのパスを含むかなりの量のデバッグ情報が隠されています。サービス: Microsoft-IIS/7.5
是正措置 : - 本番システムでは、あらゆる種類のデバッグ情報を無効にすることをお勧めします。カスタム エラー メッセージを表示すると、デバッグ情報がユーザーに提供されなくなります。web.config で、customErrors モードを "On" または "RemoteOnly" に設定します (ローカル ホストからサイトにアクセスするブラウザーにデバッグ情報を表示します)。
web.config を確認したところ、以下の設定が表示されます。
<customErrors mode="On" defaultRedirect="/ProcessError.aspx" redirectMode="ResponseRewrite">
<error statusCode="404" redirect="/PageNotFound.aspx" />
<error statusCode="500" redirect="/ProcessError.aspx"/>
</customErrors>
修復アクションに従って、CustomErrors モードを "On" または "RemoteOnly" に設定しました。上記の web.config ファイルからわかるように、既に on に設定されています。他にどのような変更を行う必要があるかわかりません。
何かアドバイスはありますか?