Meu RH

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 9

changes.mady.by.user Wesley Willian Cecilio Goulart

Gravado em

comparado com

Nova versão 10

changes.mady.by.user Wesley Willian Cecilio Goulart

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Os invasores podem abusar da funcionalidade HTTP TRACE para obter acesso a informações em cabeçalhos HTTP, como cookies e dados de autenticação.

O trecho de código abaixo deve ser incluído no nó <system.web>

Bloco de código
titleDesabilitar o TRACE
<security>
    <requestFiltering removeServerHeader="true"> 
       <verbs allowUnlisted="true">  
          <add verb="TRACE" allowed="false" />
       </verbs>  
    </requestFiltering>
</security>

Para verificar se o TRACE foi desabilitado corretamente, basta executar o comando abaixo via CMD, o retorno de Connection deve ser close.

Image Modified

Referência: https://www.tenable.com/audits/items/CIS_v1.1.1_MS_IIS_10_Level_1.audit:0fb65afb0c7ec92660216033477e726c

Informações

O trecho de código mencionado deve ser incluído no nó <system.webServer>


...

  • Desabilitar o Debug: "ASP.NET DEBUG Method Enabled"

Definir o debug como false garante que as informações detalhadas de erro não sejam exibidas indevidamente durante o uso da aplicação, reduzindo o risco de vazamento de informações.

O trecho de código abaixo deve ser incluído no nó <system.web>

Bloco de código
titleIncluir a tag debug="false" no compilation
<compilation debug="false" />

Referência: https://learn.microsoft.com/en-us/troubleshoot/developer/webapps/aspnet/development/disable-debugging-application

Informações

O elemento compilation pode ser localizado no nó <system.web>


...

  • Configurando os Headers

AtributoValores possíveisDescriçãoReferência
X-Content-Type-Optionsnosniff
Para evitar o sniffing do tipo MIME, você pode adicionar o cabeçalho X-Content-Type-Options. Isso torna mais difícil para os hackers adivinharem o tipo certo de mime, inspecionando o conteúdo.
X-Content-Type-Options - HTTP | MDN
X-Xss-Protection
0
1
0; mode=block
1; mode=block
O X-Xss-Protection é um recurso implementado no navegador mais moderno, que interrompe o carregamento da página quando um ataque de script entre sites é detectado.

X-XSS-Protection - HTTP | MDN


X-Frame-Options
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
O cabeçalho X-Frame-Options garante que os hackers não criem iframe para o seu site, a fim de induzi-lo a clicar em links que você nunca quis.
X-Frame-Options - HTTP | MDN
Bloco de código
titleExemplo de configuração
   <httpProtocol>
      <customHeaders>
        <add name="X-Content-Type-Options" value="nosniff" />
        <add name="X-Xss-Protection" value="1; mode=block" />
        <add name="X-Frame-Options" value="SAMEORIGIN" />
      </customHeaders>
    </httpProtocol>


...

  • Removendo cabeçalho de resposta X-Powered-By

Alguns cabeçalhos HTTP, como o "X-Powered-By", podem expor a tecnologia de servidor utilizada. Remover esses cabeçalhos dificultará um pouco mais para um invasor identificar o servidor que está executando o aplicativo.

...

Bloco de código
titleRemovendo cabeçalho X-AspNet-Version
<httpRuntime targetFramework="4.8" enableVersionHeader="false" />
Informações

O elemento HttpRuntime pode ser localizado no nó <system.web>

...