IIS 6.0PCIコンプライアンス-「情報開示の脆弱性」
いくつかのWebサイトでPCIコンプライアンスに合格しようとしています。外部スキャン後も、この脆弱性が残っています。
概要:リモートWebサーバーは、情報開示の脆弱性の影響を受けます。説明:リモートホストはIISのバージョンを実行しているようです。これにより、リモートユーザーは、機密Webページに必要な認証スキームを決定できます。つまり、意図的に無効な資格情報を持つ有効なWebページを要求します。 、認証スキームが使用されているかどうかを確認できます。これは、既知のUSerIDに対するブルートフォース攻撃に使用できます。
IISでこれをどのように修正しますか?
ありがとう
サイトのIISプロパティ:
- iISでWebサイトを右クリックし、[プロパティ]をクリックします
- 「ディレクトリセキュリティ」タブをクリックします
- 「認証とアクセス制御」の下で、「編集」をクリックします
- [認証済みアクセス]で、[統合Windows認証]のチェックを外します
この変更を行った後に再スキャンし、コンプライアンスに合格しました。