0

We recently had a 3rd party auditor perform a penetration test on our MS 2008 webserver that uncovered remote OS detection vulnerability. It detected the OS as well as version of IIS.

The Auditors recommended: "if Possible, configure the web server so that it does not present identifiable information in the banners"

I've done quite a bit of research and I could not find any easy way that will allow me to quickly block this information from being detected.

Does anyone know of any way to do this? Is this something that needs to be configured/denied on the server level or web application level within the code?

4

1 に答える 1

1

URLScan は、IIS 6 日間に使用したものであり、IIS 7 または 7.5 でまだ動作するかどうかはわかりません。これはあいまいさによる少しのセキュリティであり、正直なところ、ほとんどの攻撃はあなたにすべてをスプレーし、IIS として自分自身を提示しているかどうかは気にしません。彼らはあなたに apache 攻撃を投げかけたり、その逆を行ったりします。

その上、サーバーを提供するバナー以外にも、たくさんのものがあります。ヘッダーに情報を表示する順序は、IIS、Apache、Weblogic などで異なります。httprint はそのようなユーティリティの 1 つです: http://net-square.com/httprint/

その上に、TCP スタックやその他の手段に基づいてパッシブ OS 識別を行う Satori や p0f などのプログラムがあります。

そうです、監査人に戻って、彼らが具体的に何を推奨しているのか、そしてその理由を尋ねてください! バナーの非常に簡単な成果を取り除くことは 1 つのことですが、正直なところ、バナー情報のみを確認するスクリプトを使用するスクリプト キディーを持っていない限り、ほとんどのことから身を守ることはできません。

于 2012-03-06T03:19:30.367 に答える