Я проверял свои серверы на наличие уязвимостей. Два сервера с IIS 8.0 были определены как «подверженные уязвимости».
Скан предоставляет следующие комментарии:
- «Используя эту уязвимость, вредоносные сценарии могут выполняться в браузере клиента»
- "Эта уязвимость может затронуть любое веб-приложение на сервере. Чтобы предотвратить межсайтовые скриптовые атаки, веб-разработчики должны по возможности использовать статические страницы и очищать ввод / вывод."
- GET / RaNdoM_JuNk HTTP / 1.1
Подключение: Keep-Alive
Хост: "> alert (document.domain)
Оповещение (document.domain) / RaNdoM_JuNk / "/>
После этого я отключил команду GET в настройках IIS. Но я все еще получаю запросы GET, например «HTTP GET: RaNdoM_JuNk».
Вопросы:
1. Есть ли у вас идеи, как исправить эту уязвимость на сервере?
2. Почему я все еще получаю запросы GET? Горячий выключить его?