Questions tagged «penetration-testing»

我正在使用OWASP ZAP在我的本地主机上进行一些渗透测试，并且不断报告此消息： Anti-MIME-Sniffing标头X-Content-Type-Options未设置为'nosniff' 此检查特定于Internet Explorer 8和Google Chrome。如果Content-Type标头未知，请确保每个页面都设置了Content-Type标头和X-CONTENT-TYPE-OPTIONS 我不知道这意味着什么，而且我在网上找不到任何东西。我尝试添加： <meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" /> 但是我仍然收到警报。 设置参数的正确方法是什么？

291 html  http-headers  meta  owasp  penetration-testing 

我需要删除过多的标题（主要是为了通过渗透测试）。我花了很多时间研究涉及运行UrlScan的解决方案，但是这些解决方案很麻烦，因为每次启动Azure实例时都需要安装UrlScan。 必须有一个不错的Azure解决方案，该解决方案不涉及从startup.cmd部署安装程序。 我知道响应标头添加在不同的位置： 服务器：由IIS添加。 X-AspNet-Version：在刷新时由System.Web.dll在HttpResponse类中添加 X-AspNetMvc-Version：由MvcHandler在System.Web.dll中添加。 X-Powered-By：由IIS添加 有什么方法可以配置（通过web.config等？）IIS7来删除/隐藏/禁用HTTP响应标头，从而避免在asafaweb.com上出现“标头过多”警告，而无需创建IIS模块或部署需要安装的安装程序。每次启动Azure实例时都可以运行？

86 asp.net  iis-7  azure  penetration-testing  response-headers