اطمینان از اینکه پیام های خطای سفارشی خاموش نباشد (Scored)
Profile Applicability
• Level 2 – IIS 10
Description
هنگامی که یک برنامه ASP.NET خراب شود و خطای سرور داخلی HTTP / 1.x 500 را ایجاد کند، یا پیکربندی یک ویژگی (مانند درخواست فیلتر) مانع از نمایش صفحه شود، یک پیام خطا ایجاد میشود.
Administratorها میتوانند انتخاب کنند که آیا اپلیکیشن باید یک پیام دوستانه به client، detailed error message به client یا detailed error message را فقط به localhost نشان دهد یا خیر. به همین دلیل تگ customErrors در web.config دارای سه حالت است:
• On: مشخص میکند که custom Error ها فعال هستند. اگر هیچ ویژگی defaultRedirect ای مشخص نشده باشد، کاربران خطای عمومی را مشاهده میکنند. Custom Error ها برای remote client ها و local host نمایش داده میشوند.
• Off: مشخص میکند که custom Error ها غیر فعال هستند. Errorهای ASP.NET با جزئیات برای remote client ها و local host نمایش داده میشوند.
• RemoteOnly: مشخص میکند که custom error ها فقط به remote client ها نشان داده شده و خطاهای ASP.NET به local host نشان داده میشود.
مستند امن سازی وب سرور IIS 10 – بخش شانزدهم
این یک توصیه دفاع در عمق است که deployment retail=”true” در فایل پیکربندی machine.config هرگونه تنظیمات مربوط به customError ها به Off تغییر میدهد. توصیه میشود که customError ها همچنان به On یا remoteOnly تغییر یابند.
Rationale
CustomError ها میتوانند روی On یا remoteOnly تنظیم شوند، بدون اینکه هیچ اطلاعاتی از اپلیکیشن به client داده شود. اطمینان از اینکه customError ها روی Off تنظیم نشده باشند به کاهش خطر جمعآوری اطلاعات توسط نفوذگران، کسب اطلاعات از طریق ارور اپلیکیشنها و اطلاعات کانفیگ سرور، کمک میکند.
Audit
فایل web.config مربوط به اپلیکیشن یا سایت را جستجو و باز کنید و تایید کنید هر یک از تگهای customErrors mode=”RemoteOnly” یا customErrors mode=”On” در آن تعریف شده است.
یا
برای تایید با استفاده از PowerShell دستور زیر را وارد کنید:
Remediation
customError ها میتوانند برای یک سرور، سایت، اپلیکیشن با استفاده از IIS Manager GUI، با استفاده از دستورات AppCmd.exe در پنجره command-line، با edit کردن مستقیم فایلهای پیکربندی یا با نوشتن اسکریپتهای WMI تنظیم شوند.
مراحل زیر را برای تنظیم کردن customErrors به remoteOnly یا On برای یک وب سایت از طریق IIS Manager GUI انجام دهید:
1- IIS Manager GUI را باز کنید و به Site برای پیکربندی بروید.
2- در Features View آیکون .Net Error Pages را پیدا و روی آن دو بار کلیک کنید.
3- در صفحه Actions روی Edit Features Settings کلیک کنید.
4- در اینجا برای تنظیمات Mode، On یا remoteOnly را انتخاب کنید.
در انتها بر روی OK کلیک کنید.
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Default Value
به صورت پیشفرض customErrors mode= “RemoteOnly” میباشد.
منابع:
technet.microsoft.com/en-us/library/dd569096%28WS.10%29.aspx
مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.