Rủi ro bảo mật? Microsoft-HTTPAPI / 2.0

8

Trong khi bảo mật kiểm tra các máy của chúng tôi, tôi thấy rằng một máy chủ đang hiển thị dịch vụ Microsoft-HTTPAPI / 2.0 qua cổng 80 với internet.

Tôi không quen với điều này, nhưng sau khi tìm hiểu kỹ, tôi thấy rằng SQL Server 2008 xuất bản Dịch vụ báo cáo SQL Server trên cổng 80 bằng cách làm điếc và tự nhận mình là HTTPAPI / 2.0. Máy chủ cũng đang chạy IIS7.

Tôi đoán đây có lẽ không phải là thứ nên được tiếp xúc với thế giới. Bất cứ ai có thể cung cấp cho tôi bất kỳ thông tin hoặc lời khuyên về rủi ro bảo mật của việc tiếp xúc với dịch vụ này.

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found
security  iis  ssrs 
Cheekysoft
nguồn

Câu trả lời:

7

Nếu bạn không có bất kỳ lý do chính đáng nào để phơi bày nó, thì có lẽ bạn không nên phơi bày nó. Bằng cách này, bạn có thể quan tâm đến bài viết này để quyết định thời tiết hay không, bạn nên phơi bày nó

Maxwell
nguồn
2

Hãy thử tìm kiếm các lỗ hổng trong cơ sở dữ liệu khai thác cho việc này

2

Nếu tiêu đề Máy chủ của phản hồi trả về "Microsoft-HttpApi / 2.0", điều đó có nghĩa là HTTP.sys đang được gọi thay vì IIS. Khai thác và quét cổng sử dụng điều này như một phương tiện để lấy dấu vân tay của máy chủ IIS (thậm chí một máy chủ đang ẩn tiêu đề Máy chủ).

Bạn có thể kiểm tra điều này bằng cách ném lỗi bằng cách sử dụng CURL:

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

Bạn sẽ thấy một cái gì đó như thế này nếu máy chủ của bạn đang gửi tiêu đề:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Bạn có thể thêm giá trị đăng ký để HTTP.sys không bao gồm tiêu đề.

  • Mở Regedit
  • Điều hướng đến: Máy tính \ HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Services \ HTTP \ Tham số
  • Nếu DisableServerHeader không tồn tại, hãy tạo nó (DWORD 32 bit) và cho nó một giá trị là 2. Nếu nó tồn tại và giá trị không phải là 2, hãy đặt nó thành 2.
  • Khởi động lại máy chủ HOẶC khởi động lại dịch vụ HTTP bằng cách gọi "net stop http" rồi "net start http"

Tham khảo: WS / WCF: Xóa tiêu đề máy chủ

Sau khi bạn thêm khoá đăng ký, phản hồi sẽ như sau:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Đăng ở đây để những người cần điều này có thể tìm thấy nó. (Cảm ơn, Oram!)

Jeffry McGee
nguồn
1

Nguyên nhân phổ biến nhất cho tiêu đề phản hồi của Máy chủ này là khi IIS không thể xác định trang web nào sẽ phục vụ.

IIS sẽ phản hồi với tiêu đề Máy chủ này khi cả hai đều đúng

  • yêu cầu chứa tiêu đề Máy chủ không được nhận dạng
  • không có trang web mặc định nào được cấu hình

Ngoài ra, nếu cấu hình cho trang web mà IIS đang cố gắng phân phối không đúng định dạng, nó sẽ bị bỏ qua và được coi là vắng mặt, cũng có tác dụng tương tự.

Cheekysoft
nguồn
1
Có nhiều cách để có được tiêu đề này xuất hiện. Tiêu đề này có nghĩa là HTTP.sys đã gửi phản hồi, không phải quá trình worker của IIS. Tôi tin rằng các ứng dụng như ADFS 3, đăng ký URL trên HTTP.sys cũng thường phản hồi với tiêu đề này.
milope
Tôi thường quên rằng các yêu cầu đi qua http.sys. Một cách khác để buộc tiêu đề này là thực hiện một yêu cầu đặc quyền, ví dụ: máy chủ /% và http.sys từ chối ngay lập tức yêu cầu HTTP/1.1 400 Bad Request Server: Microsoft-HTTPAPI/2.0mà không chuyển nó đến một trình xử lý đã đăng ký
Cheekysoft
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.