收到我们服务的安全测试报告,该报告在Azure中作为Web角色托管。其中一点是缓慢POST攻击的漏洞。这些建议主要用于配置IIS,我们在这里无法做到。引用了一些适用于Azure网站的SiteExtentions。但我们不使用网站,我们使用Web角色。
有什么建议可以做什么?
答案 0 :(得分:2)
是的!您可以使用Web角色中定义的启动任务来运行在创建托管应用程序的VM后自定义IIS的程序。
答案 1 :(得分:0)
不要忘记现在可以通过web.config部分控制很多IIS设置(只要主机没有锁定它们)。如果您因为锁定而无法更改节点,那么您需要像其他人提到的那样编写更改和主机启动脚本。
查看Security Labs及其对IIS 7的建议,至少它们链接到的一些混淆节点保存在web.config中: