اطمینان از پنهان بودن جزئیات خطاهای IIS HTTP از راه دور (Scored)
Profile Applicability
• Level 1 – IIS 10
Description
صفحات Error یک سایت معمولا طوری تنظیم میشوند که اطلاعاتی را به منظور عیب یابی هنگام آزمایش یا تست اولیه نشان دهند. برای جلوگیری از دیده شدن این اطلاعات به وسیله کاربران غیر مجاز، این Error Page های با جزییات، نباید توسط remote user ها مشاهده شوند.
این تنظیم را میتوان در پیکربندی ویژگیerrorMode برای صفحات خطای یک وب سایت تغییر داد. به طور پیش فرض ویژگی errorMode در فایل Web.config برای وب سایت یا برنامه تنظیم شده است و در قسمت httpErrors مربوط به بخش system.webServer قرار دارد. توصیه میشود از نشان دادن custom error ها به صورت remote جلوگیری شود.
Rationale
اطلاعات موجود در پیامهای custom error ها میتوانند سرنخهایی در مورد نحوه عملکرد برنامهها، باز کردن مسیرهای حمله غیر ضروری ارائه دهند.
مستند امن سازی وب سرور ویندوز IIS 10 – بخش هفدهم
اطمینان از اینکه custom error ها هرگز از راه دور نمایش داده نمیشوند به کاهش خطر دستیابی افراد خطرناک به اطلاعات شامل چگونگی عملکرد اپلیکیشن کمک میکند.
Audit
ویژگی errorMode در فایل Web.config برای وب سایت یا اپلیکیشن در قسمت مربوط به بخش system.webServer تنظیم شده است. به web.config بروید و تأیید کنید که errorMode روی DetailsLocalOnly یا Custom تنظیم شده است:
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
در زیر توضیح داده شده که چگونه برای یک وب سایت به وسیله IIS Manager ویژگی errorMode را به detailedLocalOnly یا Custom تغییر داد:
1- IIS Manager را با دسترسی Administrator باز کنید.
2- در پنجره connections در سمت چپ، سرور را باز کنید سپس فولدر Sites را باز کنید.
3- وب سایت یا اپلیکیشن مورد نظر را برای پیکربندی انتخاب کنید.
4- در Features View، Error Pages را انتخاب کنید، در صفحه Actions، Open Features را انتخاب کنید.
5- در صفحه Actions، Edit Features Settings را انتخاب کنید.
6- در پنجره Edit Error Page Settings زیر Error Responses هر دو مورد Custom error pages برای درخواستهای remote و Detailed errors برای درخواستهای Local را انتخاب کنید.
7- روی OK کلیک کنید و از پنجره Edit Error Page Settings خارج شوید.
یا
دستور زیر را در powerShell برای پیکربندی وارد کنید:
Default Value
حالت پیش فرض errorMode، DetailsLocalOnly است.
منابع:
technet.microsoft.com/en-us/library/dd391900%28WS.10%29.aspx
www.iis.net/configreference/system.webserver/httperrors
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.