ASP.Net Web Forms網站 掃出 ASP.NET debugging enabled 弱點

 ASP.Net Web Forms網站 掃出 ASP.NET debugging enabled 弱點

解決方法 關掉debugging

在web.config

修改設定為<compilation debug="false"/>

ASP.Net Web Forms網站 掃出 Cookies with missing, inconsistent or contradictory properties 弱點 Cookie without SameSite attribute

 ASP.Net Web Forms網站 掃出 Cookies with missing, inconsistent or contradictory properties 弱點

Cookie without SameSite attribute

原因cookie少了sameSite屬性

解決方法：

修改web.config增加sameStie屬性

增加 <httpCookies sameSite="Strict">設定

然後cookie就會多了一個sameSite的屬性了

ASP.Net Web Forms網站 掃出 Clickjacking: X-Frame-Options header missing 弱點

 ASP.Net Web Forms網站 掃出 Clickjacking: X-Frame-Options header missing 弱點

解決方法：增加X-Frame-Options的HTTP標頭欄位

怎麼加勒？還是修改web.config 

增加以下設定

<httpProtocol>

    <customHeaders>

      <add name="X-Frame-Options" value="SAMEORIGIN" />

    </customHeaders>

  </httpProtocol>

ASP.Net Web Forms網站 掃出 ASP.NET version disclosure 弱點

 ASP.Net Web Forms網站 掃出ASP.NET version disclosure弱點

風險等級：低

Header會出現一個X-ASPNET-Version 告訴你網站是哪個.net framewrok版本

是沒必要的

解決方法：

在web.config加入以下設定值

<System.Web>

 <httpRuntime enableVersionHeader=''false'' />

</System.Web>

加完後Header就不會有X-ASPNET-Version了

ASP.Net Web Forms網站 掃出 Unencrypted __VIEWSTATE parameter 弱點

 有一個舊的ASP.Net Web Forms 網站 掃出了弱點名稱：Unencrypted __VIEWSTATE parameter

風險等級：中

修補方式：

修改Web.config並於<system.web>下添加

<machineKey validation="AES"/> 

改完後VIEWSTATE會變成加密的如下圖

在Mantis 中顯示“真實姓名”

 mantis都只有顯示username雖然有輸入真實姓名但是只有管理者看得到

很難知道回報者到底是誰且還有使用者名稱相似的一直認錯

上網google後 發現需要修改config_inc.php 

加上下面設定就好了

$g_show_realname = ON;

mantis文件參考網址入下

https://www.mantisbt.org/docs/master/en-US/Admin_Guide/Admin_Guide.txt