Genel, Güvenlik, İşletim Sistemleri, MS Server 2012 R2
IIS te İstenmeyen HTTP Başlıklarını Kaldırmak

IIS te İstenmeyen HTTP Başlıklarını Kaldırmak

   Herkese Merhaba,

    Bugün sizlere IIS 6.5 ve sonraki versiyonlarda tam olarak güvenlik açığı diyemeyeceğimiz ama aynı zamanda saldırıların yoğun olduğu ülkemizde bundan bir şey olmaz da diyemeyeceğimiz bir konuyu anlatacağım.

Şimdi gelelim konumuza; bir saldırganın ilk bilmek isteyeceği şeyi bulması şu kadar basit, Tarayıcıyı aç Network tabına gel ve siteyi çağır !!!

Bu benim oluşturduğum IIS te Default Site. Normal bir sitede ASP.NET versiyonu bile yazabiliyor.

Bu şu demek oluyor.

Birinin gözünü bağlayıp yeri kaz dediniz. Yer kum mu kaya mı beton mu çamur mu belli değil. Yada gözünü bağlamadınız. Baktı yer toprak kazmaya başladı. Taaki Bitcoin bulana kadar J

Evet şimdi gelelim bu açığı nasıl kapatacağımıza.

Bunun 3 adet yöntemi var IIS versiyonunuza göre değişiklik gösterebilir şimdi ben en kesin ve en favori yöntemi anlatacağım.

NOT: Bu işlemi Server bazında yaparsanız tüm sitelerinizde geçerli olacaktır kısıtlayacağınız bilgileri isteyen uygulamalarda hata yaratabilir.

İlk olarak URLRewrite uygulamasını IIS e kurmanız gerekiyor. Yüklemek için alttaki linki yada Web İnstallerı kullanarak kurabilirsiniz.

http://www.iis.net/downloads/microsoft/url-rewrite

Yükledikten sonra Web sitesine yada Server a tıklayarak URL Rewrite a geliyoruz.

URL Rewrite a girdiktan sonra sağ taraftaki View Server Variables butonuna tıklıyoruz.

Default olarak burada bir kayıt bulunmaz. Add diyerek RESPONSE_SERVER isimli bir kayıt oluşturuyoruz.

Burada Header da yazan hangi bilgi için düzenleme yapacağımızı belirttik. Şimdi gelelim kural yazmaya.

Back to Rules seçeneğinden bir önceki ekrana geri dönüyoruz. Add Rules diyerek kuralı oluşturmaya başlıyoruz.

Karşımıza gelen Pop-Up da Outbound Rules Kısmında Blank Rules u seçiyoruz.

Evet karşımıza gelen ekrandaki alanları doldurmaya başlayabiliriz.

Name kısmına Server Delete diyorum. Precondition kısmını None olarak bırakıyoruz.

Matching Scope kısmında Server Varible ı seçiyoruz. Varible Name kısmına RESPONSE_SERVER yazıyorum.

Using Kısmını Regular
Expressions olarak bırakıyoruz. Pattern kısmına .* yazıyoruz.

Ekran görüntüsündekileri yazdıktan sonra biraz daha alta iniyoruz. Action kısmını Rewrite olarak bırakıyoruz.

Action Properties de Value kısmını boş bırakırsanız hiçbir server bilgisi gitmeyecektir ama isterseniz MY Server yazabilirsiniz.

Bu ayarları yaptıktan sonra Apply diyerek tekrardan sitemizi kontrol ediyoruz.

Evet Resimde de gördüğünüz gibi Server bilgisi boş gelecektir.

Aynı şekilde X-Powered-By : ASP.NET vb bilgileri de kaldırabilir yada değiştirebilirsiniz.

Buraya kadar anlattığım her şeyi belki de daha önce okumuş olabilirsiniz yada yazmış veya yapmışsınızdır.

Testimiz okey server bilgisini kapattık evet ama güvenlik taramasında hala server bilgisi çıkıyorsa durum şudur.

Bunu kendi test ortamımda göstermeyeceğim çünkü canlı bir site gerekiyor.

Yukarıda gördüğünüz 2 paket var. İkisi de aynı server aynı site hiçbir fark yok aralarında. Tek farkı farkettiyseniz HTTP durum kodu.

Birinde status ok (200) diğerinde internal error (500).

Bununda sebebi eğer Web Sitenizde kendi özel hata sayfalarınızı kullanıyor iseniz bu hata sayfaları sitenin yada server ın URL Rewrite kurallarına tabi olmaz.

Bu yüzden herhangi bir paket İnternal Error (HTTP 500) hatası verdiğinde bilgiyi saklayamazsınız.

Bunun çözümü ise Site nin Web.Config dosyasından Custom Error Pages leri kaldırarak IIS de siteye tıkladıktan sonra .NET Error Pages uygulamasında Edit Feature Settings e tıklayarak Remote Only seçeneğini seçerek bu sorunu ortadan kaldırabilirsiniz.

Gördüğünüz gibi hata sayfası artık URL Rewrite a Tabi durumdadır bu sebepten Header Response da istemediğimiz bilgileri yayınlamayacaktır.

Not: Error Pagesler ile ilgili kısım IIS 6.5 ve 7.5 da denenmiştir. Üstü versiyonlarda farklılık gösterebilir.

İşinize Yaraması dileğiyle.

Share this Story

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

The Hacker News

  • Nintendo Switches Hacked to Run Linux—Unpatchable Exploit Released
    by noreply@blogger.com (Mohit Kumar) on 24 Nisan 2018 at 12:53

    Two separate teams of security researchers have published working proof-of-concept exploits for an unpatchable vulnerability in Nvidia's Tegra line of embedded processors that comes on all currently available Nintendo Switch consoles. Dubbed Fusée Gelée and ShofEL2, the exploits lead to a coldboot execution hack that can be leveraged by device owners to install Linux, run unofficial games, […]

  • How to Steal Bitcoin Wallet Keys (Cold Storage) from Air-Gapped PCs
    by noreply@blogger.com (Wang Wei) on 24 Nisan 2018 at 08:00

    Dr. Mordechai Guri, the head of R&D team at Israel's Ben Gurion University, who previously demonstrated various methods to steal data from an air-gapped computer, has now published new research named "BeatCoin." BeatCoin is not a new hacking technique; instead, it's an experiment wherein the researcher demonstrates how all previously discovered out-of-band communication methods can be used to […]

  • Hackers Behind Healthcare Espionage Infect X-Ray and MRI Machines
    by noreply@blogger.com (Mohit Kumar) on 23 Nisan 2018 at 18:53

    Security researchers have uncovered a new hacking group that is aggressively targeting healthcare organizations and related sectors across the globe to conduct corporate espionage. Dubbed "Orangeworm," the hacking group has been found installing a wormable trojan on machines hosting software used for controlling high-tech imaging devices, such as X-Ray and MRI machines, as well as machines […]

  • Flaw in LinkedIn AutoFill Plugin Lets Third-Party Sites Steal Your Data
    by noreply@blogger.com (Swati Khandelwal) on 21 Nisan 2018 at 14:05

    Not just Facebook, a new vulnerability discovered in Linkedin's popular AutoFill functionality found leaking its users' sensitive information to third party websites without the user even knowing about it. LinkedIn provides an AutoFill plugin for a long time that other websites can use to let LinkedIn users quickly fill in profile data, including their full name, phone number, email address, […]

  • British Schoolboy Who Hacked CIA Director Gets 2-Year Prison Term
    by noreply@blogger.com (Swati Khandelwal) on 21 Nisan 2018 at 10:29

    The British teenager who managed to hack into the online accounts of several high-profile US government employees sentenced to two years in prison on Friday. Kane Gamble, now 18, hacked into email accounts of former CIA director John Brennan, former Director of National Intelligence James Clapper, former FBI Deputy Director Mark Giuliano, and other senior FBI officials—all from his parent's […]