在没有UrlScan的情况下删除/隐藏/禁用Azure / IIS7中过多的HTTP响应标头

问题描述 投票:80回答:5

我需要删除excessive headers(主要是为了通过渗透测试)。我花了很多时间研究涉及运行UrlScan的解决方案,但这些都像UrlScan needs to be installed each time an Azure instance is started一样繁琐。

必须有一个很好的Azure解决方案,不涉及从startup.cmd部署安装程序。

我知道响应标头是在different places中添加的:

  • 服务器:由IIS添加。
  • X-AspNet-Version:在Flush in HttpResponse类中由System.Web.dll添加
  • X-AspNetMvc-Version:由System.Web.dll中的MvcHandler添加。
  • X-Powered-By:由IIS添加

是否有任何方法配置(通过web.config等?)IIS7删除/隐藏/禁用HTTP响应标头,以避免在asafaweb.com上出现“过多标题”警告,而无需创建IIS模块或部署需要运行的安装程序每次Azure实例启动?

asp.net iis-7 azure penetration-testing response-headers
5个回答
135
投票

以下更改允许您在Azure中删除这些HTTP响应标头,而无需编写自定义HttpModule。

网上的大部分信息都已过时,并涉及UrlScan(此后已集成到IIS7中,但删除了RemoveServerHeader=1选项)。下面是我发现的最好的解决方案(感谢this blogthis answerthis blog的组合)。

要删除Server,请转到Global.asax,找到/创建Application_PreSendRequestHeaders事件并添加以下内容(感谢BKthis blog,这也不会在Cassini / local dev上失败):

2014年4月编辑:您可以将PreSendRequestHeaders和PreSendRequestContext事件与本机IIS模块一起使用,但不要将它们与实现IHttpModule的托管模块一起使用。设置这些属性可能会导致asynchronous requests出现问题。正确的版本是使用BeginRequest事件。

    protected void Application_BeginRequest(object sender, EventArgs e)
    {
        var application = sender as HttpApplication;
        if (application != null && application.Context != null)
        {
            application.Context.Response.Headers.Remove("Server");
        }
    }

要删除X-AspNet-Version,请在web.config中找到/创建<system.web>并添加:

  <system.web>
    <httpRuntime enableVersionHeader="false" />

    ...

要删除X-AspNetMvc-Version,请转到Global.asax,查找/创建Application_Start事件并添加一行,如下所示:

  protected void Application_Start()
  {
      MvcHandler.DisableMvcResponseHeader = true;
  }

要删除X-Powered-By,请在web.config中找到/创建<system.webServer>并添加:

  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>

    ...
10
投票

MSDN发布了this article,了解如何隐藏Azure网站上的标题。您现在可以通过向system.webServer添加条目来从web.config隐藏服务器

<security>
      <requestFiltering removeServerHeader ="true" />
</security>

虽然VS会对上面的内容感到无效。上面的链接有代码作为图片,很难找到。如上所述,MVC版本仍然隐藏在应用程序启动中,对于x-powered-by和.Net版本也是如此。

6
投票

NuGet上还有一个软件包可以帮助您通过几行配置实现这一点,而无需更改代码:NWebsec。有关删除版本标题的文档可以在这里找到:https://github.com/NWebsec/NWebsec/wiki/Suppressing-version-headers

它在这里演示:http://www.nwebsec.com/HttpHeaders/VersionHeaders(在Azure中)

免责声明:我是该项目的开发人员。

5
投票

Nick Evans的回答很完美,但......

如果出于安全目的删除这些标题,请不要忘记更改ASP.NET Session coockie name!因为当您看到它时,更容易猜测使用的语言或服务器版本:

enter image description here

要更改Cookie名称:(要有创意)

<system.web>
  <sessionState cookieName="PHPSESSID" />
</system.web>
3
投票

汇总了来自@ giveme5minutes和@AKhooli的先前答案,因为它们与Azure网站以及扫描仪想要查看的其他一些项目有关,这些是我为使ASafaWeb满意Azure站点所做的更改。

它仍然抱怨Azure亲和标头cookie不仅仅是https,但亲和力是你想要重播的cookie的类型,对吧?

<system.web>
    <compilation debug="false">
    <httpRuntime enableVersionHeader="false" />
    <httpCookies httpOnlyCookies="true" requireSSL="true" />    
    <customErrors mode="RemoteOnly" defaultRedirect="~/Error.aspx" />
</system.web>

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="X-Frame-Options" value="DENY" />
        <remove name="X-Powered-By" />
      </customHeaders>
    </httpProtocol>
    <security>
      <!--removes Azure headers-->
      <requestFiltering removeServerHeader="true" />
    </security>
</system.webServer>
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.