امن سازی IIS 10 – بخش هجدهم

cis-IIS 10

اطمینان از پنهان بودن جزئیات خطاهای IIS HTTP از راه دور (Scored)

Profile Applicability

• Level 1 – IIS 10

Description

صفحات Error یک سایت معمولا طوری تنظیم می‌شوند که اطلاعاتی را به منظور عیب یابی هنگام آزمایش یا تست اولیه نشان دهند. برای جلوگیری از دیده شدن این اطلاعات به وسیله کاربران غیر مجاز، این Error Page های با جزییات، نباید توسط remote user ها مشاهده شوند.

این تنظیم را می‌توان در پیکربندی ویژگیerrorMode برای صفحات خطای یک وب سایت تغییر داد. به طور پیش فرض ویژگی errorMode در فایل Web.config برای وب سایت یا برنامه تنظیم شده است و در قسمت httpErrors مربوط به بخش system.webServer قرار دارد. توصیه می‌شود از نشان دادن custom error ها به صورت remote جلوگیری شود.

Rationale

اطلاعات موجود در پیام‌های custom error ها می‌توانند سرنخ‌هایی در مورد نحوه عملکرد برنامه‌ها، باز کردن مسیرهای حمله غیر ضروری ارائه دهند.

مستند امن سازی وب سرور ویندوز IIS 10 – بخش هفدهم

اطمینان از اینکه custom error ها هرگز از راه دور نمایش داده نمی‌شوند به کاهش خطر دستیابی افراد خطرناک به اطلاعات شامل چگونگی عملکرد اپلیکیشن کمک می‌کند.

Audit

ویژگی errorMode در فایل Web.config برای وب سایت یا اپلیکیشن در قسمت مربوط به بخش system.webServer تنظیم شده است. به web.config بروید و تأیید کنید که errorMode روی DetailsLocalOnly یا Custom تنظیم شده است:

یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:

Remediation

در زیر توضیح داده شده که چگونه برای یک وب سایت به وسیله IIS Manager ویژگی errorMode را به detailedLocalOnly یا Custom تغییر داد:

1- IIS Manager را با دسترسی Administrator باز کنید.
2- در پنجره connections در سمت چپ، سرور را باز کنید سپس فولدر Sites را باز کنید.
3- وب سایت یا اپلیکیشن مورد نظر را برای پیکربندی انتخاب کنید.
4- در Features View، Error Pages را انتخاب کنید، در صفحه Actions، Open Features را انتخاب کنید.
5- در صفحه Actions، Edit Features Settings را انتخاب کنید.
6- در پنجره Edit Error Page Settings زیر Error Responses هر دو مورد Custom error pages برای درخواست‌های remote و Detailed errors برای درخواست‌های Local را انتخاب کنید.
7- روی OK کلیک کنید و از پنجره Edit Error Page Settings خارج شوید.

یا
دستور زیر را در powerShell برای پیکربندی وارد کنید:

Default Value

حالت پیش فرض errorMode، DetailsLocalOnly است.

منابع:

technet.microsoft.com/en-us/library/dd391900%28WS.10%29.aspx
www.iis.net/configreference/system.webserver/httperrors

مطالب این بخش برگرفته از مستند امن سازی وب سرور IIS مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید