Версия Servicestack: 3.9.71.0
Целевая платформа:. NET 3.5
История программы: используется в производственной среде более 3,5 лет
Недавно из-за аудита безопасности клиента были доведено до нашего сведения. Все, кроме одного, были исключены из-за изменений конфигурации IIS.
Последний указанный элемент описывает ситуацию, в которой программное обеспечение для зондирования обращалось к конечной точке без надлежащей аутентификации. Это было нормально, и ожидаемым результатом был 403 Forbidden. Неожиданным результатом стало то, что в теле ответа отображается некоторая внутренняя информация сервера.
Основываясь на довольно большом количестве статей, которые я искал, он склеивает, что возвращаемая информация тела ответа является результатом того, как настроен Servicestack my .
Я понимаю, что это довольно старая версия Service Stack. Я бы предпочел определить настройку IIS для отмены запрещенного ответа. Кроме того, можно просто вернуть код статуса 403 без дополнительной информации. Третий вариант - создать и использовать настраиваемый объект ответа 403 для управления тем, что раскрывается.
Любые рекомендации или помощь, безусловно, будут оценены .. Заранее спасибо.
Мои результаты почтальона