নিরাপত্তা ঝুঁকি? মাইক্রোসফট HTTPAPI / 2.0

8

সুরক্ষা আমাদের মেশিনগুলি পরীক্ষা করার সময়, আমি দেখতে পেলাম যে একটি হোস্ট ইন্টারনেটে 80 বন্দর দিয়ে একটি মাইক্রোসফ্ট-এইচটিটিপিআই / 2.0 পরিষেবা প্রকাশ করছে।

আমি এর সাথে পরিচিত নই, তবে প্রায় গুগল করার পরে, আমি দেখতে পেলাম যে এসকিউএল সার্ভার ২০০৮ এসএকিউএল সার্ভার রিপোর্টিং সার্ভিসগুলি 80 বন্দরটিতে ডিফল্ট দ্বারা প্রকাশ করে এবং নিজেকে HTTPAPI / 2.0 হিসাবে পরিচয় দেয়। হোস্টটি আইআইএস 7ও চালাচ্ছে।

আমি অনুমান করছি এটি সম্ভবত এমন কিছু নয় যা বিশ্বের সামনে প্রকাশ করা উচিত। এই পরিষেবাটি প্রকাশের সুরক্ষা ঝুঁকির বিষয়ে কেউ আমাকে যে কোনও তথ্য বা পরামর্শ দিতে পারে।

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found
security  iis  ssrs 
Cheekysoft
সূত্র

উত্তর:

7

যদি আপনার কাছে এটি উন্মোচন করার কোনও ভাল কারণ না থাকে, তবে আপনার সম্ভবত এটি প্রকাশ করা উচিত নয়। উপায় দ্বারা আপনি এই নিবন্ধটি সম্পর্কে আগ্রহী হতে পারে বা অন্যটি সিদ্ধান্ত নিতে আপনাকে এটি প্রকাশ করা উচিত

ম্যাক্সওয়েল
সূত্র
2

এর জন্য এক্সপ্লোর পরিচালনা ডাটাবেসে দুর্বলতাগুলি অনুসন্ধান করার চেষ্টা করুন

2

যদি প্রতিক্রিয়ার সার্ভার শিরোনামটি "মাইক্রোসফ্ট-এইচটিপিপি / ২.০" ফিরিয়ে দেয়, তার অর্থ হ'ল আইআইএসের পরিবর্তে এইচটিটিপি.সেস কল করা হচ্ছে। শোষণ এবং পোর্ট স্ক্যানগুলি আইআইএস সার্ভারকে আঙুলের ছাপানোর মাধ্যম হিসাবে এটি ব্যবহার করে (এমনকি এটি অন্যথায় সার্ভার শিরোনামটি আড়াল করে রাখে)।

আপনি সিআরএল ব্যবহার করে একটি ত্রুটি নিক্ষেপ করে এটি পরীক্ষা করতে পারেন:

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

আপনার সার্ভার হেডার পাঠিয়ে দিলে আপনি এরকম কিছু দেখতে পাবেন:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

আপনি একটি রেজিস্ট্রি মান যুক্ত করতে পারেন যাতে HTTP.sys শিরোনামটি অন্তর্ভুক্ত করে না।

  • ওপেন রিজেডিট
  • এটিতে নেভিগেট করুন: কম্পিউটার \ HKEY_LOCAL_MACHINE Y SYSTEM \ বর্তমানকন্ট্রোলসেট \ পরিষেবাদি \ HTTP TP পরামিতি
  • যদি ডিজেবল সার্ভারহাইডারটি বিদ্যমান না থাকে তবে এটি তৈরি করুন (ডিডব্লর্ড 32 বিট) এবং এটির একটি মান দিন ২ যদি এটি বিদ্যমান থাকে এবং মানটি 2 না হয় তবে এটি 2 এ সেট করুন।
  • সার্ভারটি পুনরায় বুট করুন বা "নেট স্টপ HTTP" এবং "নেট স্টার্ট HTTP" কল করে HTTP পরিষেবাটি পুনরায় চালু করুন

তথ্যসূত্র: WS / WCF: সার্ভার শিরোনাম সরান

আপনি রেজিস্ট্রি কী যুক্ত করার পরে, প্রতিক্রিয়াটি দেখতে এমন দেখাচ্ছে:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

এখানে পোস্ট করা যাতে এটির প্রয়োজন হয় এমন লোকেরা এটি খুঁজে পেতে পারে। (ধন্যবাদ ওরাম!)

জেফ্রি ম্যাকগি
সূত্র
1

এই সার্ভারের প্রতিক্রিয়া শিরোনামের সর্বাধিক সাধারণ কারণ হ'ল আইআইএস কোন ওয়েবসাইটটি পরিবেশন করতে হবে তা নির্ধারণ করতে পারে না।

নিম্নলিখিত উভয় সত্য হলে IIS এই সার্ভার শিরোনামের সাথে প্রতিক্রিয়া জানাবে

  • অনুরোধটিতে একটি অবিখ্যাত স্বীকৃত হোস্ট শিরোনাম রয়েছে
  • কোনও ডিফল্ট ওয়েবসাইট কনফিগার করা নেই

বিকল্পভাবে, আইআইএস যে ওয়েবসাইটটি সরবরাহ করার চেষ্টা করছে তার কনফিগারেশনটি যদি ত্রুটিযুক্ত হয় তবে তা উপেক্ষা করা হবে এবং অনুপস্থিত হিসাবে বিবেচিত হবে, একই প্রভাব রয়েছে।

Cheekysoft
সূত্র
1
এই শিরোনামটি উপস্থিত হওয়ার আরও অনেক উপায় রয়েছে। এই শিরোনামটির অর্থ হ'ল HTTP.sys প্রতিক্রিয়া পাঠিয়েছে, আইআইএসের কর্মী প্রক্রিয়া নয়। এডিএফএস 3 এর মতো অ্যাপ্লিকেশনগুলিতে আমি বিশ্বাস করি, যা HTTP.sys- এ একটি ইউআরএল নিবন্ধিত করে সাধারণত এই শিরোনামটির সাথেও সাড়া দেয়।
মিলোপ
আমি প্রায়শই ভুলে যাই যে অনুরোধগুলি http.sys এর মধ্য দিয়ে যায়। এই শিরোলেখিকে বাধ্য করার আরেকটি উপায় হ'ল আইলিগাল অনুরোধ করা যেমন সার্ভার /% এবং http.sys অনুরোধটি HTTP/1.1 400 Bad Request Server: Microsoft-HTTPAPI/2.0নিবন্ধীকৃত হ্যান্ডলারের কাছে না দিয়ে সঙ্গে সঙ্গে অনুরোধ প্রত্যাখ্যান করে
চেকিসফট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.