ZAP扫描报告显示检测到了2个代理服务器,或者说有指纹。 它说对我们的url做了GET和POST方法,攻击方式为TRACE、OPTIONS与Max-Forwards头,以及TRACK方法。 我们已经通过修改web配置或代码,删除了响应中不必要的头,如Server和X-Powered-By...以及asp.net版本头,但我们还是看到了这种情况。 此外,提到的url只允许GET或POST,不允许使用TRACE、OPTIONS或TRACK方法。 我们甚至在web.config中添加了以下内容来防止这些动词。
<system.webServer>
<security>
<requestFiltering removeServerHeader="true">
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false" />
<add verb="TRACK" allowed="false" />
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
<httpErrors errorMode="Custom">
<remove statusCode="404" />
<error statusCode="404" path="NotFound.html" responseMode="File" />
<remove statusCode="500" />
<error statusCode="500" path="Error.html" responseMode="File" />
</httpErrors>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
那么,我们如何才能解决这个问题呢? 或者有什么其他的办法可以防止这个问题? 谢谢你
我认为你不能解决这个问题。我已经研究了这部分,我也在门户网站上提出了票据。
这个响应不是来自服务器,是由azure前端处理的,不能删除特定的头。
你不需要花时间来解决这个问题,你也可以向微软Azure提出支持问题。