ASP.Net Web Forms網站 掃出 ASP.NET debugging enabled 弱點
解決方法 關掉debugging
在web.config
修改設定為<compilation debug="false"/>
ASP.Net Web Forms網站 掃出 ASP.NET debugging enabled 弱點
解決方法 關掉debugging
在web.config
修改設定為<compilation debug="false"/>
ASP.Net Web Forms網站 掃出 Cookies with missing, inconsistent or contradictory properties 弱點
Cookie without SameSite attribute
原因cookie少了sameSite屬性
解決方法:
修改web.config增加sameStie屬性
增加 <httpCookies sameSite="Strict">設定
然後cookie就會多了一個sameSite的屬性了
ASP.Net Web Forms網站 掃出 Clickjacking: X-Frame-Options header missing 弱點
解決方法:增加X-Frame-Options的HTTP標頭欄位
怎麼加勒?還是修改web.config
增加以下設定
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
</customHeaders>
</httpProtocol>
ASP.Net Web Forms網站 掃出ASP.NET version disclosure弱點
風險等級:低
Header會出現一個X-ASPNET-Version 告訴你網站是哪個.net framewrok版本
是沒必要的
解決方法:
在web.config加入以下設定值
<System.Web>
<httpRuntime enableVersionHeader=''false'' />
</System.Web>
加完後Header就不會有X-ASPNET-Version了
有一個舊的ASP.Net Web Forms 網站 掃出了弱點名稱:Unencrypted __VIEWSTATE parameter
風險等級:中
修補方式:
修改Web.config並於<system.web>下添加
<machineKey validation="AES"/>
mantis都只有顯示username雖然有輸入真實姓名但是只有管理者看得到
很難知道回報者到底是誰且還有使用者名稱相似的一直認錯
上網google後 發現需要修改config_inc.php
加上下面設定就好了
$g_show_realname = ON;
mantis文件參考網址入下
https://www.mantisbt.org/docs/master/en-US/Admin_Guide/Admin_Guide.txt