web-dev-qa-db-ja.com

セキュリティリスク? Microsoft-HTTPAPI / 2.0

セキュリティが私たちのマシンを検査している間に、1つのホストがポート80経由でインターネットにMicrosoft-HTTPAPI/2.0サービスを公開していることがわかりました。

私はこれに精通していませんが、グーグル検索した後、SQL Server 2008がデフォルトでポート80でSQL Server Reporting Servicesを公開し、自身をHTTPAPI/2.0として識別していることがわかりました。ホストはIIS7も実行しています。

これはおそらく世界に公開するべきものではないと思います。このサービスを公開することのセキュリティリスクに関する情報やアドバイスを誰かに教えてもらえますか?.

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found
8
Cheekysoft

このサーバー応答ヘッダーの最も一般的な原因は、IISがどのWebサイトを提供するかを決定できない場合です。

次の両方に該当する場合、IISはこのServerヘッダーで応答します

  • リクエストに認識できないホストヘッダーが含まれています
  • デフォルトのウェブサイトは設定されていません

または、IISが配信しようとしているWebサイトの構成が不正な形式である場合、それは無視され、存在しないと見なされ、同じ効果があります。

1
Cheekysoft

公開する正当な理由がない場合は、公開しないでください。ちなみに、あなたは興味があるかもしれません この記事 あなたがそれを公開すべきかどうかを決める

7
Maxwell

応答のサーバーヘッダーが「Microsoft-HttpApi/2.0」を返す場合は、IISの代わりにHTTP.sysが呼び出されていることを意味します。エクスプロイトおよびポートスキャンは、IISサーバー(他の方法でサーバーヘッダーを非表示にしている場合でも)のフィンガープリントを作成する)の手段としてこれを使用します。

これをテストするには、CURLを使用してエラーをスローします。

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

サーバーがヘッダーを送信している場合は、次のようになります。

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

レジストリ値を追加して、HTTP.sysにヘッダーが含まれないようにすることができます。

  • Regeditを開く
  • 次の場所に移動します:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
  • DisableServerHeaderが存在しない場合は、作成して(DWORD 32ビット)、値を2にします。存在していて、値が2でない場合は、2に設定します。
  • サーバーを再起動しますOR "net stop http"を呼び出してから "net start http"を呼び出してHTTPサービスを再起動します

参照: WS/WCF:サーバーヘッダーの削除

レジストリキーを追加すると、応答は次のようになります。

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

これを必要とする人が見つけられるようにここに投稿します。 (ありがとう、オラム!)

2
Jeffry McGee

このためのエクスプロイトデータベースで脆弱性を探してみてください

2
Peter