我需要一个帮助。我们的网站正在Windows Server 2008 \ IIS7.5上运行。我们今天为我们的网站进行了PCI扫描,并且我们收到了漏洞信息。
漏洞: - 启用了ASP.NET详细错误消息 在此主机上运行的Web服务器配置为显示详细信息 ASP.NET应用程序的错误消息。这可能会给攻击者 有关服务器上的ASP.NET应用程序的信息 作为有关主机本身的信息。但是,如果你查看 页面的来源,隐藏在文档的底部是相当的 一些调试信息,包括Web服务器的路径。 服务:Microsoft-IIS / 7.5
修复操作: - 建议禁用任何类型的调试信息 用于生产系统。显示自定义错误消息可防止 调试信息提供给用户。在web.config中, 将customErrors模式设置为“On”或“RemoteOnly”(显示 调试从本地访问该站点的浏览器的信息 主机)。
我查看了我们的web.config,我们可以看到下面的设置
<customErrors mode="On" defaultRedirect="/ProcessError.aspx" redirectMode="ResponseRewrite">
<error statusCode="404" redirect="/PageNotFound.aspx" />
<error statusCode="500" redirect="/ProcessError.aspx"/>
</customErrors>
根据补救措施,我们将CustomErrors模式设置为“On”或“RemoteOnly”。从上面的web.config文件中可以看出,它已经设置为on。不确定还有什么其他的改变。
你有什么建议吗?