httpヘッダーにASP.NETバージョン情報が 表示されてしまうという脆弱性の 指摘を受けた 実は詳しくは理解してないけど .NETはJavaなんかと 同列のプログラムの フレームワークだと認識している たとえばJavaで書かれたアプリは Apacheを使おうがIISを使おうが動くけど、 .Net系は同じMicrosoft製の WindowsServerとIISの組み合わせ じゃないと動かない? ゆえに今回のケースはIISでしか 発生しないと思われる バージョンが表示されてしまう状況の再現 状況次第とは思うけど 今回のケースでは どうにかして 500 Internal Server Errorをだすと ASP.Net version情報 応答ヘッダー部分に X-ASPNet-Version: 4.XXXX とバージョン情報が表示されるというもの ちなみに関係ないけど phpで500エラー
Web サイトから送信される各応答からヘッダー情報を削除すると、セキュリティを強化し、帯域幅を少し節約できます。 これらのヘッダーには、Web サイトで使用されているフレームワークに関する、公開する必要のないインフラストラクチャの詳細が多数含まれています。 各 Web ページから X-Aspnet-Version HTTP ヘッダー情報を削除すると、帯域幅が少し節約され、使用している ASP.NET のバージョンが公開されなくなります。 ASP.NET からの各応答から X-Aspnet-Version HTTP ヘッダーを削除するには、web.config ファイルに次のコードを追加します。
概要 IIS(Webサーバー)のServerヘッダーの非公開化設定の備忘 背景 Webサーバーへアクセスした際にクライアントに返されるHttpレスポンスにはServerヘッダー項目が存在し、下記情報が格納されます。 格納情報 利用Webサーバー バージョン 例 利用Webサーバー:Microsoft-IIS バージョン:10.0 参考. developer.mozilla.org デフォルトでは格納設定であり、セキュリティ観点でServerヘッダー情報の外部公開はWebサーバーの脆弱性となる為に運用時には非公開設定にするのが推奨されます。 Server以外のヘッダー項目(X-AspNet-Version・X-AspNetMvc-Version・X-Powered-By等)にも FW及びバージョン情報が格納され、同様に非公開設定を行うのが推奨されています。 今回はServerヘッダーのみ触れ
IIS10.0はデフォルトでHTTPレスポンスヘッダにX-Powerd-by:ASP.NETを出力する設定になっております。 そのためHTTPヘッダーを確認すればIISを使用している事が簡単にわかってしまいます。 現在はこういった情報は出力されないようにするのがトレンドです。
The Hacker Newsはこのほど、「Protecting Your Microsoft IIS Servers Against Malware Attacks」において、Webサーバ「Microsoft IIS」をマルウェアの脅威から保護する実用的な対策について伝えた。 The Hacker Newsによると、北朝鮮の持続的標的型攻撃(APT: Advanced Persistent Threat)グループであるLazarusの最近の活動の多くは、脆弱なMicrosoft IISサーバを発見し、攻撃することに焦点を当てているという。Microsoft IISサーバにはセキュリティ機能が組み込まれているが、有効に機能させるためには常に最新の状態に保つ必要がある。Lazarusは最新の状態に保たれていないサーバを積極的にスキャンしてこれを発見・侵害し、時には侵害したサーバの信用を悪用し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く