اطمینان از حذف سرآیند Server (Not Scored)
Profile Applicability
• Level 2 – IIS 10
Description
header سرور ممکن است تکنولوژی پایهای که توسط یک اپلیکیشن استفاده میشود را مشخص کند. مهاجمان میتوانند با استفاده از این response هدرها، عملیات شناسایی را در وب سایت انجام دهند.
این هدر میتواند برای آسیبپذیریهای خاص شناخته شده که با تکنولوژیهای پایهای و اساسی مرتبط هستند در حملات به عنوان هدف قرار گرفته شود و مورد استفاده قرار گیرند. حذف این هدر از هدف قرار دادن برنامه شما برای سوءاستفادههای خاص توسط مهاجمان، جلوگیری مینماید.
Rationale
در حالی که این تنها راه برای fingerprint یک سایت از طریق response header ها نیست ولی منجر به سختتر شدن آن و جلوگیری کردن از برخی حملات مهاجمان احتمالی میشود. دستورالعمل حذف هدر سرور ویژگی جدیدی در IIS 10 است که میتواند در کاهش این خطر کمک کند.
Audit
برای تایید از طریق AppCmd.exe دستور زیر را وارد کنید:
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
برای پیکربندی از طریق AppCmd.exe دستور زیر را وارد کنید:
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Impact
اینکار سرآیند Server را حذف میکند.
Default Value
Microsoft-IIS/10.0
منابع:
blogs.msdn.microsoft.com/jpsanders/2015/10/07/remove-server-and-x-powered-by-headers-from-your-azure-mobile-apps/
