弱點掃描

參加政府案,或銀行案,都會需要弱點掃描,或黑白箱測試
所以在開發上需要懂一些資安議題,以免引入漏洞,遭受攻擊

分享一個政府案經驗

環境

  1. Windows Server 2016
  2. IIS
  3. .Net Framework 4.7.2

針對弱點掃描需要在Response Header上增加一些資訊
例如 

  1. X-Frame-Options
  2. Strict-Transport-Security
  3. X-Content-Type-Options
  4. X-Xss-Protection
  5. Content-Security-Policy
  6. Referrer-Policy

發生一個有趣的問題
該添加的Header都有補上,但經過弱點掃描,問題始終依舊
漏洞名稱Asp.Net version disclosure
web.config增加也是無效

<System.Web>
<httpRuntime enableVersionHeader='false' />
</System.Web>

原來魔鬼藏在細節中,文件報告上寫的掃瞄,是開發中未曾有的ASPX檔,造成X-AspNet-Version洩密


參考一下黑暗執行緒的文章後決定使用StripHeaders來根除IIS上的洩密,問題即可根除

提供弱掃必備工具

  1. Ssllabs網站檢測工具
  2. IIS Crypto