httpヘッダーにASP.NETバージョン情報が 表示されてしまうという脆弱性の 指摘を受けた 実は詳しくは理解してないけど .NETはJavaなんかと 同列のプログラムの フレームワークだと認識している たとえばJavaで書かれたアプリは Apacheを使おうがIISを使おうが動くけど、 .Net系は同じMicrosoft製の WindowsServerとIISの組み合わせ じゃないと動かない? ゆえに今回のケースはIISでしか 発生しないと思われる バージョンが表示されてしまう状況の再現 状況次第とは思うけど 今回のケースでは どうにかして 500 Internal Server Errorをだすと ASP.Net version情報 応答ヘッダー部分に X-ASPNet-Version: 4.XXXX とバージョン情報が表示されるというもの ちなみに関係ないけど phpで500エラー
Web サイトから送信される各応答からヘッダー情報を削除すると、セキュリティを強化し、帯域幅を少し節約できます。 これらのヘッダーには、Web サイトで使用されているフレームワークに関する、公開する必要のないインフラストラクチャの詳細が多数含まれています。 各 Web ページから X-Aspnet-Version HTTP ヘッダー情報を削除すると、帯域幅が少し節約され、使用している ASP.NET のバージョンが公開されなくなります。 ASP.NET からの各応答から X-Aspnet-Version HTTP ヘッダーを削除するには、web.config ファイルに次のコードを追加します。
概要 IIS(Webサーバー)のServerヘッダーの非公開化設定の備忘 背景 Webサーバーへアクセスした際にクライアントに返されるHttpレスポンスにはServerヘッダー項目が存在し、下記情報が格納されます。 格納情報 利用Webサーバー バージョン 例 利用Webサーバー:Microsoft-IIS バージョン:10.0 参考. developer.mozilla.org デフォルトでは格納設定であり、セキュリティ観点でServerヘッダー情報の外部公開はWebサーバーの脆弱性となる為に運用時には非公開設定にするのが推奨されます。 Server以外のヘッダー項目(X-AspNet-Version・X-AspNetMvc-Version・X-Powered-By等)にも FW及びバージョン情報が格納され、同様に非公開設定を行うのが推奨されています。 今回はServerヘッダーのみ触れ
IIS10.0はデフォルトでHTTPレスポンスヘッダにX-Powerd-by:ASP.NETを出力する設定になっております。 そのためHTTPヘッダーを確認すればIISを使用している事が簡単にわかってしまいます。 現在はこういった情報は出力されないようにするのがトレンドです。
The Hacker Newsはこのほど、「Protecting Your Microsoft IIS Servers Against Malware Attacks」において、Webサーバ「Microsoft IIS」をマルウェアの脅威から保護する実用的な対策について伝えた。 The Hacker Newsによると、北朝鮮の持続的標的型攻撃(APT: Advanced Persistent Threat)グループであるLazarusの最近の活動の多くは、脆弱なMicrosoft IISサーバを発見し、攻撃することに焦点を当てているという。Microsoft IISサーバにはセキュリティ機能が組み込まれているが、有効に機能させるためには常に最新の状態に保つ必要がある。Lazarusは最新の状態に保たれていないサーバを積極的にスキャンしてこれを発見・侵害し、時には侵害したサーバの信用を悪用し
・余計な機能がないので動作が軽い ・OS容量がすくない(20GB以下) ・さまざまなサーバー機能が検証できる ・Hyper-Vの完全版がつかえる ・サーバーOSなので安定している バージョンなど OSバージョンですが、2019と2022はほとんど変わらないのでどっちでもいいと思います。2019が気持ち軽めな気がします。 同じくStandardとDatacenterはクライアントとして使う分にはどっちでもいいと思います。 例1 VHDネイティブブート Hyper-VでWin10/11の仮想マシンを作り、ブート領域を編集することでマルチブートできます。仮想マシンとの違いは、ネイティブブートなのでGPUが使えたり、サンドボックス的に検証できることです。 個人的にはIntuneの検証で便利ですが、ゲーム開発・ドライバ開発などでもメリットがあると思います。 VHDXファイル単位でOSを管理するので、
はじめに シス研には何らかの理由で停止しているサーバーが2機存在する。今年度、サーバーを再構築するという提案が出されたが、サーバーが壊れていては意味がない。エラーランプが点滅しているが、説明書がないためエラーが特定できず、直す方法が見つからない。そこで、自作PCを何台も作成してきている私が直すこととなった。これは作業内容と結果、私の脳内会議の全貌である。 サーバー機器名・作業前状態 Fujitsu RX200 S5 CPU : Intel Xeon-E5502(2個) RAM : PC3-10600 2GB 1枚 PSU : 770W 2個 その他 : 1端子のよくわからんRAIDコントローラー 状態 : BIOS起動せず、保守ランプ(マザーボードエラー)が点滅。 説明書 : なし☆ Fujitsu RX200 S6① CPU : Intel Xeon-E5630(2個) RAM : PC
この連載では、Windows Server 2012/2012 R2の2023年10月のサポート終了(EoS)までに、新システムに移行するのは、時間的に無理があることを前提に、既存システムをそのまま最新の仮想環境やクラウドに移行する際のポイントを解説しています。 今回は、オンプレミスの物理サーバまたは仮想マシンからAzure VMへの移行です。これには、「Azure Migrate」という移行ツールが利用できます。 災害対策ツールではなく、移行ツールとしてのAzure Site Recovery(ASR) オンプレミスの物理サーバや仮想マシンを、クラウドにリフト&シフトする方法は、いくつか存在します。 Microsoft Azureの場合、最初にあった唯一の方法は物理サーバを仮想ハードディスク化するか、すでに仮想化されているのなら仮想マシンの仮想ハードディスクを、Azure VM対応の仮想
【Javascript】fetchを使って非同期サーバー処理を行い成否を検知して処理を分岐する( Response.ok プロパティ)JavaScriptfetch したいこと Viewに配置されているボタンをクリックしたら、非同期でサーバー処理を行いその処理の成否でjavascript上で処理を分岐する。 背景 開発運用中のシステムに機能追加を行う場面でのお話 実装していくよ〜 まずは既存コードから探してみる 既存のコードの中にfetchを使用して今回したいことと同じことをしている箇所を発見したので、そのまま倣ってみる。 Button.onclick = () => { const url = 'xxxx.com' fetch(url, { method: 'POST', headers: {〜〜〜〜} }) .then(() => { console.log('通信成功'); // 成
きっかけ とある案件に携わった時に、APサーバーとDBサーバーは分けても分けなくても良いですねと話しているのを聞いて、「そうなんだ!?」と驚いたので調べてみようと思い立ちました。ネットで調べて情報をまとめました。 【前提】Web三層構造について Webサーバ、APサーバ、DBサーバの3層の事。 (参考サイト:https://www.infraexpert.com/info/server17.html) WEBサーバーの役割 静的ページのデータやAPサーバーから転送された動的ページのデータをWebクライアントに転送すること。 APサーバーの役割 Webサーバーから送られてきたユーザーからのデータを受け取り、サーバーサイド・プログラムを実行することでそのデータを加工したり、DB(データベース)のデータを検索・加工した後、Webサーバーにレスポンスを返す。 DBサーバーの役割 アプリケーションサ
背景 Dockerコンテナを立てたらマルウェアに感染したのでサイバーセキュリティの啓蒙を兼ねてメモ書きしてみました。 注意事項 マルウェアに感染した被害の対処方法を記述しています。マルウェア自体の機能や解析の解説ではなく一般利用者ユーザーの視点から感染経路と対応方法についての記述になります。 マルウェア感染状況 症状 Dockerコンテナを稼働させたホストのロードアベレージ(CPU負荷)が常時4を超える状況になっていました。つまり400%でホストがフル回転してた訳ですな。 例えるならエヴァンゲリオン初号機が暴走してマヤちゃんがコンソール画面に向かって叫んでいるところです(違) こうなるとクラウドサービスのAWSとかだと英文で警告アラートが飛んで来ますし毎日課金されで膨大な利用料金請求が来ることになります。恐ろしい!! 状況の調査 CPUの利用状況やメモリの使用量などを調査するツール類があり
Write-EventLog [-LogName] <string> [-Source] <string> [-EventID] <int> [-Message] <string> [[-EntryType] {<Error> | <Warning> | <Information> | <SuccessAudit> | <FailureAudit>}] [-Category <Int16>] [-ComputerName <string>] [-RawData <Byte[]>] [<CommonParameters>] Write-EventLog コマンドレットはイベントをイベント ログに書き込みます。 イベントをイベント ログに書き込むには、イベント ログがコンピューター上に存在し、イベント ソースがイベント ログに登録されている必要があります。 EventLog という名詞を含むコ
はじめに みなさん,Linuxの管理時にSSHは使われますか?(使われますよね) Windowsでも,リモートデスクトップではなく,PowerShellを使ってリモートからアクセスしたい!と思いませんか?(思いますよね) ここでは,Windows 7以降を実行するWindows(Server・コンシューマどちらでも)に対して,リモートからPowerShellを用いてアクセスする方法を書きたいと思います. WinRM (Windows Remote Management)を有効にする 接続先のホストで,一度だけ次のコマンドを実行して,WinRMを有効にします. Enable-PSRemoting この時,ネットワークの設定が「プライベート」でない場合,エラーが発生して停止してしまいますので,ネットワークの設定を変更するか,次のコマンドで強制的にWinRMを有効にします. Enable-PSR
[Windows/PowerShell] PowerShell でパスワード入力のダイアログの表示無しに,リモートコンピューターに接続 (Enter-PSSession) する方法を知りたい. [番号] 技術ノート KGTN 2016113002 [現象] [Windows/PowerShell] PowerShell でパスワード入力のダイアログの表示無しに,リモートコンピューターに接続 (Enter-PSSession) する方法を知りたい. [説明] 以下のスクリプトでパスワード入力のダイアログの表示無しに,リモートコンピューターに接続することが出来ます. # 引数のチェック if($Args.Length -ne 3) { Write-Host "Usage: enterPSSession.ps1 <host> <user> <password>" Exit 1002 } $arg
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く