タグ付けされた質問 「penetration-testing」

5
「X-Content-Type-Options = nosniff」とは何ですか?
OWASP ZAPを使用してローカルホストで侵入テストを行っていますが、次のメッセージが報告され続けます。 Anti-MIME-SniffingヘッダーX-Content-Type-Optionsが「nosniff」に設定されていませんでした このチェックは、Internet Explorer 8とGoogle Chromeに固有です。Content-Typeヘッダーが不明な場合は、各ページにContent-TypeヘッダーとX-CONTENT-TYPE-OPTIONSが設定されていることを確認してください これが何を意味するのか私にはわかりませんし、オンラインでも何も見つかりませんでした。追加しようとしました: <meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" /> しかし、私はまだアラートを受け取ります。 パラメータを設定する正しい方法は何ですか?

5
UrlScanを使用せずにAzure / IIS7で過剰なHTTP応答ヘッダーを削除/非表示/無効化する
余分なヘッダーを削除する必要があります(主に侵入テストに合格するため)。UrlScanの実行を伴うソリューションを検討することに時間を費やしましたが、Azureインスタンスを起動するたびにUrlScanをインストールする必要があるため、これらは面倒です。 startup.cmdからインストーラーをデプロイする必要のないAzure向けの優れたソリューションが必要です。 応答ヘッダーがさまざまな場所に追加されていることを理解しています。 サーバー:IISによって追加されました。 X-AspNet-バージョン:HttpResponseクラスのフラッシュ時にSystem.Web.dllによって追加されました X-AspNetMvc-バージョン:System.Web.dllのMvcHandlerによって追加されました。 X-Powered-By:IISによって追加されました IISモジュールを作成したりインストーラーをデプロイしたりせずに、(web.configなどを介して)IIS7を構成してHTTP応答ヘッダーを削除/非表示/無効にしてasafaweb.comでの「過剰なヘッダー」警告を回避する方法はありますか?Azureインスタンスが起動するたびに実行されますか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.