目录
2.3.3 修复跨站脚本漏洞,已过滤“<”、“>”,实际中并不能完全防护
前言
本问主要是在针对某安全甲方要求修复相关安全漏洞,也是第一次接触参与相关漏洞修复工作,以前都是挖漏洞。大厂的漏扫扫的各类各式的漏洞,懂的人都懂,非常难搞。客户使用的Windows 2012操作系统,百度上面针对有些漏洞的解释和修复方式都已经失效了,最后还是在微软官网找到了方法。目前关于urlscan的现在链接微软官网的已经失效,目前只有在第三方还保留着这些工具,但是为了保证安全性,还对软件进行了一次分析。闲话少说。
1. 漏洞分析
漏洞名称:web 服务器HTTP头部信息泄露漏洞
这是一个什么漏洞呢?简单的说就是使用浏览器访问的时候会泄露关于中间件版本和服务器后台语言,从以下截图中可以看出IIS版本,后端语言和ASP.NET版本,本漏洞主要针对Windows Server下的IIS。
因为防止恶意攻击者通过信息收集方式发现该敏感信息,并对服务器进行有针对性的攻击,故建议修复该安全隐患。
2. 漏洞修复
2.1 修复工具介绍
修复该漏洞使用微软提供的工具Urlscan,该工具集成在IIS上可以制约HTTP请求,通过阻止特定的HTTP请求头数据来防止有害的请求到达服务器。该工具目前还能找到,版本为UrlScan3.1,且支持IIS 5.1,IIS 6,IIS 7,注意区分32位、64位系统。
本文章测试环境为Windows 2003 Server + IIS 6
详细内容参考:微软文档
2.2 安装使用
安装方法也极其简单,双击安装即可,一直下一步,没有自定义安装选项,配置文件路径为:C:\WINDOWS\system32\inetsrv\urlscan。
在该目录下的三个目录和文件分别为:
logs:目录日志;
urlscan.dll:动态链接库文件;
urlscan.dll:该软件配置文件,对UrlScan的配置均通过该文件完成。
加载该工具:管理工具----网站(右击属性)----ISAPI筛选器----添加----输入筛选器名称和可执行文件----点击确定
2.3 简单使用
2.3.1 防止因编码、特殊文件夹导致的系统故障
[options]节点中
AllowHighBitCharacters=1;default is 0
AllowDotInPath=1;default is 0
2.3.2 修复IIS段文件名
[DenyUrlSequences]节点中
新增符号"~"
2.3.3 修复跨站脚本漏洞,已过滤“<”、“>”,实际中并不能完全防护
[DenyQueryStringSequences]节点添加关键字如
svg
"
2.3.4 隐藏Server头信息
需保证IIS角色下安装的ISAPI筛选器和IIS 6元数据库兼容
全局配置文件
C:\Windows\System32\inetsrv\urlscan\UrlScan.ini
RemoveServerHeader=0 ; 改成1以后不显示Server
AlternateServerName= ;如果RemoveServerHeader=0可以自己定义
3. 本文主要配置方法
RemoveServerHeader=1 # 设置为1移除IIS的server标头启动
AllowHighBitCharacters=1 # 设置为1就可以支持中文名页面及文件
AllowDotInPath=1 # 设置为1可访问多个句点 (.) 的URL,比如以域名命名的目录就存在点[DenyExtensions]下的;.com # 不限制对.com文件或目录的访问,比如以域名命名的目录
[DenyUrlSequences]下的;: # 取消对":"的过滤
AllowLateScanning=1 # "低"优先级筛选器运行
# 然后再在ISAPI筛选器中将UrlScan 3.1下移到INFOSAFE后.
C:\WINDOWS\system32\inetsrv\urlscan\logs Users取消执行权限
重启IIS后生效测试结果,可以发现响应报头的Server字段就没有了,但是还存在asp版本
4. 修复后台语言泄露
可以通过站点属性修改HTTP头信息来隐藏相关的信息。
5. 结果检测