Выполнил сканирование Nessus и обнаружил следующую уязвимость
Nessus was able to exploit the issue using the following request :
GET / HTTP/1.0
Accept-Charset: iso-8859-1,utf-8;q=0.9,*;q=0.1
Accept-Language: en
Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
Pragma: no-cache
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
This produced the following truncated output (limited to 10 lines) :
------------------------------ snip ------------------------------
Content-Type: text/html
Server: Microsoft-IIS/7.5
WWW-Authenticate: Basic realm="xx.xxx.xx.xx"
X-Powered-By: ASP.NET
Date: Mon, 18 Mar 2019 17:07:55 GMT
Connection: keep-alive
Content-Length: 1293
Точнее говоря, запрос, отправленный Nessus, обслуживался заголовком ответа, показывающим IP-адрес сервера, который не должен бытьcase.
Мое приложение размещено в IIS 7.
Я нашел ссылку ниже, но она устраняет проблемы для IIS ниже 6
https://support.microsoft.com/en-us/help/218180
Как это исправить?