คำถามติดแท็ก penetration-testing

ฉันกำลังทำการทดสอบการเจาะระบบบน localhost ของฉันด้วย OWASP ZAP และมันรายงานข้อความนี้ต่อไป ไม่ได้ตั้งค่าส่วนหัว Anti-MIME-Sniffing X-Content-Type-Options เป็น 'nosniff' การตรวจสอบนี้เป็นการเฉพาะสำหรับ Internet Explorer 8 และ Google Chrome ตรวจสอบให้แน่ใจว่าแต่ละหน้าตั้งค่าส่วนหัวของประเภทเนื้อหาและ X-CONTENT-TYPE-OPTIONS หากไม่ทราบส่วนหัวของประเภทเนื้อหา ฉันไม่รู้ว่าสิ่งนี้หมายถึงอะไรและฉันไม่พบสิ่งใดทางออนไลน์ ฉันได้ลองเพิ่ม: <meta content="text/html; charset=UTF-8; X-Content-Type-Options=nosniff" http-equiv="Content-Type" /> แต่ฉันยังคงได้รับการแจ้งเตือน วิธีการตั้งค่าพารามิเตอร์ที่ถูกต้องคืออะไร?

292 html  http-headers  meta  owasp  penetration-testing 

ฉันต้องการลบส่วนหัวที่มากเกินไป (โดยหลักแล้วจะต้องผ่านการทดสอบการเจาะ) ผมได้ใช้เวลามองไปที่การแก้ปัญหาที่เกี่ยวข้องกับการทำงาน UrlScan แต่เหล่านี้จะยุ่งยากเป็นUrlScan จะต้องติดตั้งในแต่ละครั้งตัวอย่าง Azure จะเริ่มต้น ต้องมีโซลูชันที่ดีสำหรับ Azure ที่ไม่เกี่ยวข้องกับการปรับใช้โปรแกรมติดตั้งจาก startup.cmd ฉันเข้าใจว่ามีการเพิ่มส่วนหัวการตอบกลับในที่ต่างๆ : เซิร์ฟเวอร์ : เพิ่มโดย IIS X-AspNet-Version : เพิ่มโดย System.Web.dll ในช่วงเวลาของ Flush ในคลาส HttpResponse X-AspNetMvc-Version : เพิ่มโดย MvcHandler ใน System.Web.dll X-Powered-By : เพิ่มโดย IIS มีวิธีใดบ้างในการกำหนดค่า (ผ่าน web.config เป็นต้น) IIS7 เพื่อลบ / ซ่อน / ปิดใช้งานส่วนหัวการตอบกลับ HTTP เพื่อหลีกเลี่ยงคำเตือน "ส่วนหัวที่มากเกินไป" ที่asafaweb.comโดยไม่ต้องสร้างโมดูล …

86 asp.net  iis-7  azure  penetration-testing  response-headers