HttpResponse Header 服务器错误信息泄漏(详细 Headers)
HttpResponse Header Information Leakage on Server Error (Verbose Headers)
过去我处理过与默认服务相关的安全问题 Banners/Verbose Headers/Information 通过 HttpResponse 泄漏 Headers。这些问题很常见,对于 Asp.Net - IIS 服务器通常看起来像这样。
服务器:Microsoft-IIS/10.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
这些类型的问题很常见,通常处理起来也很简单,通常是 web.config 更新或 URLRewrite 规则来删除冗长的 headers。
然而,我最近偶然发现的一个问题是,当服务器遇到错误时,这些 headers 没有被删除。例如 404(未找到)错误仍将附加这些 headers。事实上,大多数错误响应都无法正确消除信息泄漏headers。我做了一些搜索,发现这个问题没有很好的记录,事实上它从来没有出现在我们的 Pen-Tests 中。
我很好奇是否有任何其他开发人员处理过此问题,特别是当响应代码为错误时 HttpResponse Headers 中的信息泄漏。如果是这样,你是如何修复它的。我正在使用 Microsoft Asp.Net、IIS 技术,但仍然好奇其他 technologies/servers 是否有此问题。
感谢 Cody(安全冠军)的回复。
在这里恢复一个旧线程,但我们有很多应用程序可以缓解这个问题。我们实际上已经在 负载均衡器级别 上完成了它,因此所有响应,无论是错误还是其他,都得到相同的处理
我们正在使用 iRule for F5 - iRules Home
https://clouddocs.f5.com/api/irules/
irule 有一组列入黑名单的 header 名称,并且只是在每个响应中删除这些名称
如果你想在 AWS 或其他托管负载平衡机制中完成同样的事情,不幸的是我不确定你将如何去做
过去我处理过与默认服务相关的安全问题 Banners/Verbose Headers/Information 通过 HttpResponse 泄漏 Headers。这些问题很常见,对于 Asp.Net - IIS 服务器通常看起来像这样。
服务器:Microsoft-IIS/10.0
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
这些类型的问题很常见,通常处理起来也很简单,通常是 web.config 更新或 URLRewrite 规则来删除冗长的 headers。
然而,我最近偶然发现的一个问题是,当服务器遇到错误时,这些 headers 没有被删除。例如 404(未找到)错误仍将附加这些 headers。事实上,大多数错误响应都无法正确消除信息泄漏headers。我做了一些搜索,发现这个问题没有很好的记录,事实上它从来没有出现在我们的 Pen-Tests 中。
我很好奇是否有任何其他开发人员处理过此问题,特别是当响应代码为错误时 HttpResponse Headers 中的信息泄漏。如果是这样,你是如何修复它的。我正在使用 Microsoft Asp.Net、IIS 技术,但仍然好奇其他 technologies/servers 是否有此问题。
感谢 Cody(安全冠军)的回复。
在这里恢复一个旧线程,但我们有很多应用程序可以缓解这个问题。我们实际上已经在 负载均衡器级别 上完成了它,因此所有响应,无论是错误还是其他,都得到相同的处理
我们正在使用 iRule for F5 - iRules Home
https://clouddocs.f5.com/api/irules/
irule 有一组列入黑名单的 header 名称,并且只是在每个响应中删除这些名称
如果你想在 AWS 或其他托管负载平衡机制中完成同样的事情,不幸的是我不确定你将如何去做