服务器 Gind.cn
  1. 服务器 Gind.cn
  3. IIS 6.0 PCI合规性 – “信息泄漏漏洞”
Intereting Posts
Nginx – 将以前的所有子域的子目录redirect到主域的子目录 无法从Amazon Lightsailbuild立VPC对等连接 如何在FreeBSD上安装`Happstack`? 思科IPSec硬件要求 在系统启动时启动mongrel? rsyslog – 正则expression式的麻烦 是否有可能使用Powershel或VBScript获取CCM更新计划? NGINX如何使用SSL设置多个位置 虚拟主机debian apach2 如何将networking驱动器安装为本地磁盘? 数据库和数据库用户的命名规则以供Web应用程序访问? 你如何计算服务器机房所需的交stream容量? 使用1GB内存运行Windows Server 2008是否现实? 连接Linux系统从2个接口切换 如何将一批registry项添加到组策略?

IIS 6.0 PCI合规性 – “信息泄漏漏洞”

我们正试图在我们的一些网站上通过PCI合规。 在外部扫描之后,我们仍然有这个漏洞:

简介:远程Web服务器受到信息泄露漏洞的影响。 说明:远程主机似乎正在运行IIS的一个版本,允许远程用户确定哪些validationscheme是机密网页所必需的。 也就是说,通过使用故意无效的证书请求有效的网页,您可以确定validationscheme是否正在使用中。 这可以用于对已知USerID的暴力攻击。

我们如何在IIS中对此进行补救?

谢谢

我们需要在站点的IIS属性中UNCHECK“集成Windows身份validation”:

  • 右键单击IIS中的网站,单击“属性”
  • 点击“目录安全”选项卡
  • 在“身份validation和访问控制”下,点击“编辑”
  • 在“身份validation访问”下,UNCHECK“集成Windows身份validation”

我做了这个改变后重新扫描,我们通过了合规。