why:因為沒有關掉黃頁,導致網頁錯誤資訊會曝光
solution:在位置為system.web下方,將debug模式關掉
<system.web>
<compilation debug="false"/>
<customErrors mode="RemoteOnly" defaultRedirect="500.htm">
<error statusCode="500" redirect="~500.htm"/>
</system.web>
2. Clickjacking:X-Frame-Options header missing
why:X-Frame-Options HTTP 回應標頭 (header) 用來指示文件是否能夠載入
<frame>, <iframe> 以及 <object>,網站可以利用 X-Frame-Options 來確保本身內容不會遭惡意嵌入道其他網站、避免 clickjacking 攻擊solution:設定IIS 請加入以下指令到網站的 Web.config 檔:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
</system.webServer>
參考文獻
3.ASP.NET version disclosure
why:ASP.NET 版本揭露,對於網站是不必要的揭露資訊
solution:APPly the following changes to the web.config file to prevent ASP.NET wersion disclosure
<System.Web>
<httpRuntime enableVersionHeader="false">
</Sustem.Web>
4.SQL injection 注意所有http gte/post 都要防止惡意字串被惡意注入東西,所以後端接收參數改寫要注意
沒有留言:
張貼留言