ZAP 扫描报告表明检测到 2 个代理服务器或对其进行了指纹识别。它说它对我们的 url 执行了 GET 和 POST 方法,并使用 TRACE 攻击、带有 Max-Forwards 标头的 OPTIONS 和 TRACK 方法。我们已经通过 Web 配置更改或代码更改删除了不必要的标头,例如 Server 和 X-Powered-By ...以及响应中的 asp.net 版本标头,但我们仍然看到这种情况。此外,提到的 url 只允许 GET 或 POST,而不允许 TRACE、OPTIONS 或 TRACK 方法。我们甚至在 web.config 中添加了以下内容来防止这些动词:
<system.webServer>
<security>
<requestFiltering removeServerHeader="true">
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false" />
<add verb="TRACK" allowed="false" />
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
<httpErrors errorMode="Custom">
<remove statusCode="404" />
<error statusCode="404" path="NotFound.html" responseMode="File" />
<remove statusCode="500" />
<error statusCode="500" path="Error.html" responseMode="File" />
</httpErrors>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
那么我们如何才能解决这个问题,或者我们可以采取其他措施来防止这种情况发生呢?谢谢
我认为你无法解决问题。这部分我研究过,也在门户里提过票。
此响应不是来自服务器,它由天蓝色前端处理,无法删除特定标头。
您不需要花时间来解决这个问题,您也可以向 Microsoft Azure 提出支持问题。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)