Questions tagged «penetration-testing»

5
什么是“ X-Content-Type-Options = nosniff”?
我正在使用OWASP ZAP在我的本地主机上进行一些渗透测试,并且不断报告此消息: Anti-MIME-Sniffing标头X-Content-Type-Options未设置为'nosniff' 此检查特定于Internet Explorer 8和Google Chrome。如果Content-Type标头未知,请确保每个页面都设置了Content-Type标头和X-CONTENT-TYPE-OPTIONS 我不知道这意味着什么,而且我在网上找不到任何东西。我尝试添加: <meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" /> 但是我仍然收到警报。 设置参数的正确方法是什么?

5
在没有UrlScan的情况下删除/隐藏/禁用Azure / IIS7中过多的HTTP响应标头
我需要删除过多的标题(主要是为了通过渗透测试)。我花了很多时间研究涉及运行UrlScan的解决方案,但是这些解决方案很麻烦,因为每次启动Azure实例时都需要安装UrlScan。 必须有一个不错的Azure解决方案,该解决方案不涉及从startup.cmd部署安装程序。 我知道响应标头添加在不同的位置: 服务器:由IIS添加。 X-AspNet-Version:在刷新时由System.Web.dll在HttpResponse类中添加 X-AspNetMvc-Version:由MvcHandler在System.Web.dll中添加。 X-Powered-By:由IIS添加 有什么方法可以配置(通过web.config等?)IIS7来删除/隐藏/禁用HTTP响应标头,从而避免在asafaweb.com上出现“标头过多”警告,而无需创建IIS模块或部署需要安装的安装程序。每次启动Azure实例时都可以运行?
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.