我在这里需要一个帮助。我们的网站在 windows server 2008\IIS7.5 上运行。我们今天对我们的站点进行了 PCI 扫描,我们得到了以下漏洞消息。
漏洞: - 启用 ASP.NET 详细错误消息 此主机上运行的 Web 服务器配置为显示 ASP.NET 应用程序的详细错误消息。这可能会为攻击者提供有关服务器上 ASP.NET 应用程序的信息,以及有关主机本身的信息。但是,如果您查看页面的源代码,则隐藏在文档底部的是相当多的调试信息,其中包括 Web 服务器的路径。服务:Microsoft-IIS/7.5
补救措施: - 建议对生产系统禁用任何类型的调试信息。显示自定义错误消息会阻止向用户提供调试信息。在 web.config 中,将 customErrors 模式设置为“On”或“RemoteOnly”(向从本地主机访问站点的浏览器显示调试信息)。
我检查了我们的 web.config,我们可以在那里看到以下设置
<customErrors mode="On" defaultRedirect="/ProcessError.aspx" redirectMode="ResponseRewrite">
<error statusCode="404" redirect="/PageNotFound.aspx" />
<error statusCode="500" redirect="/ProcessError.aspx"/>
</customErrors>
根据补救措施,我们已将 CustomErrors 模式设置为 "On" 或 "RemoteOnly" 。从上面的 web.config 文件中可以看出,它已经设置为 on。不确定还需要做哪些其他更改。
你有什么建议吗?