...
Os invasores podem abusar da funcionalidade HTTP TRACE para obter acesso a informações em cabeçalhos HTTP, como cookies e dados de autenticação.
O trecho de código abaixo deve ser incluído no nó <system.web>
Bloco de código | ||
---|---|---|
| ||
<security> <requestFiltering removeServerHeader="true"> <verbs allowUnlisted="true"> <add verb="TRACE" allowed="false" /> </verbs> </requestFiltering> </security> |
Para verificar se o TRACE foi desabilitado corretamente, basta executar o comando abaixo via CMD, o retorno de Connection deve ser close.
Referência: https://www.tenable.com/audits/items/CIS_v1.1.1_MS_IIS_10_Level_1.audit:0fb65afb0c7ec92660216033477e726c
Informações |
---|
O trecho de código mencionado deve ser incluído no nó <system.webServer> |
...
Definir o debug como false garante que as informações detalhadas de erro não sejam exibidas indevidamente durante o uso da aplicação, reduzindo o risco de vazamento de informações.
O trecho de código abaixo deve ser incluído no nó <system.web>
Bloco de código | ||
---|---|---|
| ||
<compilation debug="false" /> |
Informações |
---|
O elemento compilation pode ser localizado no nó <system.web> |
...
Atributo | Valores possíveis | Descrição | Referência |
---|---|---|---|
X-Content-Type-Options | nosniff | Para evitar o sniffing do tipo MIME, você pode adicionar o cabeçalho X-Content-Type-Options. Isso torna mais difícil para os hackers adivinharem o tipo certo de mime, inspecionando o conteúdo. | X-Content-Type-Options - HTTP | MDN |
X-Xss-Protection | 0 1 0; mode=block | O X-Xss-Protection é um recurso implementado no navegador mais moderno, que interrompe o carregamento da página quando um ataque de script entre sites é detectado. | |
X-Frame-Options | X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/ | O cabeçalho X-Frame-Options garante que os hackers não criem iframe para o seu site, a fim de induzi-lo a clicar em links que você nunca quis. | X-Frame-Options - HTTP | MDN |
Bloco de código | ||
---|---|---|
| ||
<httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> <add name="X-Xss-Protection" value="1; mode=block" /> <add name="X-Frame-Options" value="SAMEORIGIN" /> </customHeaders> </httpProtocol> |
...
Alguns cabeçalhos HTTP, como o "X-Powered-By", podem expor a tecnologia de servidor utilizada. Remover esses cabeçalhos dificultará um pouco mais para um invasor identificar o servidor que está executando o aplicativo.
...
Bloco de código | ||
---|---|---|
| ||
<httpRuntime targetFramework="4.8" enableVersionHeader="false" /> |
Informações |
---|
O elemento HttpRuntime pode ser localizado no nó <system.web> |
...