參加政府案,或銀行案,都會需要弱點掃描,或黑白箱測試
所以在開發上需要懂一些資安議題,以免引入漏洞,遭受攻擊
分享一個政府案經驗
環境
- Windows Server 2016
- IIS
- .Net Framework 4.7.2
針對弱點掃描需要在Response Header上增加一些資訊
例如
- X-Frame-Options
- Strict-Transport-Security
- X-Content-Type-Options
- X-Xss-Protection
- Content-Security-Policy
- Referrer-Policy
發生一個有趣的問題
該添加的Header都有補上,但經過弱點掃描,問題始終依舊
漏洞名稱Asp.Net version disclosure
web.config增加也是無效
<System.Web>
<httpRuntime enableVersionHeader='false' />
</System.Web>
原來魔鬼藏在細節中,文件報告上寫的掃瞄,是開發中未曾有的ASPX檔,造成X-AspNet-Version洩密
參考一下黑暗執行緒的文章後決定使用StripHeaders來根除IIS上的洩密,問題即可根除
提供弱掃必備工具