ASP.NET MVC 5 Azure 应用程序 ZAP 扫描指示代理泄露漏洞 - 我们如何防止这种情况发生?
ASP.NET MVC 5 Azure App ZAP Scan indicates Proxy Disclosure vulnerability - how can we prevent that?
ZAP 扫描报告表明检测到或提取了 2 个代理服务器的指纹。它说它对我们的 url 进行了 GET 和 POST 方法的跟踪攻击,使用 Max-Forwards header 的 OPTIONS 和 TRACK 方法。我们已经删除了不必要的 header,例如 Server 和 X-Powered-By ...以及响应中的 asp.net 版本 header,通过网络配置更改或代码更改,但我们仍然看到这一点。此外,提到的 url 只允许 GET 或 POST,而不是 TRACE、OPTIONS 或 TRACK 方法。我们甚至在 web.config 中使用以下内容来防止这些动词:
<system.webServer>
<security>
<requestFiltering removeServerHeader="true">
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false" />
<add verb="TRACK" allowed="false" />
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
<httpErrors errorMode="Custom">
<remove statusCode="404" />
<error statusCode="404" path="NotFound.html" responseMode="File" />
<remove statusCode="500" />
<error statusCode="500" path="Error.html" responseMode="File" />
</httpErrors>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
那么我们怎样才能解决这个问题,或者我们可以做些什么来防止这个问题发生?谢谢
我认为你无法解决这个问题。这部分我研究过,我也在传送门提票
此响应不是来自服务器,它由 Azure 前端处理,无法删除特定的 header。
您不需要花时间解决这个问题,您也可以向 Microsoft Azure 提出支持问题。
ZAP 扫描报告表明检测到或提取了 2 个代理服务器的指纹。它说它对我们的 url 进行了 GET 和 POST 方法的跟踪攻击,使用 Max-Forwards header 的 OPTIONS 和 TRACK 方法。我们已经删除了不必要的 header,例如 Server 和 X-Powered-By ...以及响应中的 asp.net 版本 header,通过网络配置更改或代码更改,但我们仍然看到这一点。此外,提到的 url 只允许 GET 或 POST,而不是 TRACE、OPTIONS 或 TRACK 方法。我们甚至在 web.config 中使用以下内容来防止这些动词:
<system.webServer>
<security>
<requestFiltering removeServerHeader="true">
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false" />
<add verb="TRACK" allowed="false" />
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
<httpErrors errorMode="Custom">
<remove statusCode="404" />
<error statusCode="404" path="NotFound.html" responseMode="File" />
<remove statusCode="500" />
<error statusCode="500" path="Error.html" responseMode="File" />
</httpErrors>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
那么我们怎样才能解决这个问题,或者我们可以做些什么来防止这个问题发生?谢谢
我认为你无法解决这个问题。这部分我研究过,我也在传送门提票
此响应不是来自服务器,它由 Azure 前端处理,无法删除特定的 header。
您不需要花时间解决这个问题,您也可以向 Microsoft Azure 提出支持问题。