Iis
IIS 6.0 PCI 合規性 - “資訊洩露漏洞”
我們正在嘗試在我們的一些網站上通過 PCI 合規性。經過外部掃描,我們仍然有這個漏洞:
簡介: 遠端 Web 伺服器受到資訊洩露漏洞的影響。描述:遠端主機似乎正在執行一個 IIS 版本,該版本允許遠端使用者確定機密網頁需要哪些身份驗證方案。也就是說,通過故意使用無效憑據請求有效網頁,您可以確定身份驗證方案是否正在使用中。這可用於對已知 USerID 的暴力攻擊。
我們如何在 IIS 中解決這個問題?
謝謝
我們需要在站點的 IIS 屬性中取消選中“集成 Windows 身份驗證”:
- 右鍵點擊IIS中的網站,點擊“屬性”
- 點擊“目錄安全”選項卡
- 在“身份驗證和訪問控制”下,點擊“編輯”
- 在“經過身份驗證的訪問”下,取消選中“集成 Windows 身份驗證”
進行此更改後,我重新掃描,我們通過了合規性。