اطمینان از غیرفعال بودن ASP.NET Stack Tracing (Scored)
Profile Applicability
• Level 2 – IIS 10
Description
عنصر trace سرویس ردیابی کد ASP.NET را پیکربندی میکند که چگونگی جمع آوری، ذخیره سازی و نمایش نتایج ردیابی را کنترل نماید. هنگامی که tracing فعال است، هر درخواست صفحه پیامهای ردیابی ایجاد میکند که میتوانند به خروجی صفحه اضافه شوند یا در یک اپلیکیشن trace log ذخیره شوند.
این یک توصیه دفاع در عمق است که وجود deployment retail=”true” در فایل machine.config همه تنظیمات باقیمانده که برای ASP.NET باعث tracing میشود را دوباره نویسی میکند. توصیه میشود مکانیزم tracing برای ASP.NET همچنان خاموش بماند.
Rationale
در یک وب سایت active، ردیابی نباید فعال باشد به دلیل اینکه میتواند اطلاعات حساس کانفیگی یا stack trace information ها را با جزئیات زیاد به هر کسی که صفحات سایت را مشاهده میکند نشان دهد.
مستند امن سازی وب سرور ویندوز IIS 10 – بخش هجدهم
در صورت لزوم، ویژگی localOnly را میتوان به true تنظیم کرد که information trace فقط برای درخواستهای localhost نمایش داده شود. اطمینان از غیرفعال بودن این ویژگی، به کاهش خطر یادگیری دقیق اطلاعات توسط افراد بدخواه کمک خواهد کرد.
Audit
Tracing در سطوح مختلف قابل پیکربندی است:
- Machine.config
- Root-level web.config
- Application-level web.config
- Virtual or physical directory-level web.config
- Individual ASP.Net page level
تأیید کنید که ردگیری ASP.NET از طریق هر صفحه در برنامه روشن نشده است.
تایید کنید ویژگی trace فعال نیست:
Trace=”true”
در فایل web.config اطمینان حاصل کنید که tracing غیر فعال باشد به صورت:
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
- اطمینان حاصل کنید deployment retail=”true” در machine.config فعال باشد.
- تمامی منابع ویژگیهای ردیابی ASP.NET را با پاک کردن ویژگی trace و trace enable حذف کنید.
در هر صفحه:
حذف هرگونه ارجاع به:
Trace=”true”
در هر اپلیکیشن:
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Default Value
حالت پیشفرض ردیابی ASP.NET خاموش میباشد.
منابع:
msdn.microsoft.com/en-us/library/94c55d08%28v=vs.100%29.aspx
msdn.microsoft.com/en-us/library/0x5wc973%28v=vs.100%29.aspx
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.