Риск безопасности? Microsoft-HTTPAPI / 2,0

8

Пока система безопасности проверяла наши машины, я обнаружил, что один хост выставляет интернет-сервис Microsoft-HTTPAPI / 2.0 через порт 80.

Я не знаком с этим, но после поиска, я обнаружил, что SQL Server 2008 публикует службы отчетов SQL Server по порту 80 по умолчанию и идентифицирует себя как HTTPAPI / 2.0. Хост также работает под управлением IIS7.

Я предполагаю, что это, вероятно, не то, что должно быть открыто миру. Может ли кто-нибудь предложить мне какую-либо информацию или совет относительно угрозы безопасности, связанной с использованием этой услуги.

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found
security  iis  ssrs 
Cheekysoft
источник

Ответы:

7

Если у вас нет веских причин, чтобы разоблачить это, то, вероятно, вам не следует это подвергать. Кстати, вы можете быть заинтересованы в этой статье, чтобы решить, стоит ли вам это делать или нет.

максвелл
источник
2

Попробуйте найти уязвимости в базе данных эксплойтов для этого

2

Если заголовок сервера ответа возвращает «Microsoft-HttpApi / 2.0», это означает, что вместо IIS вызывается HTTP.sys. Эксплойты и сканирование портов используют это как средство снятия отпечатков с сервера IIS (даже если он скрывает заголовок сервера).

Вы можете проверить это, выдав ошибку, используя CURL:

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

Вы увидите что-то вроде этого, если ваш сервер отправляет заголовок:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Вы можете добавить значение реестра, чтобы HTTP.sys не включал заголовок.

  • Открыть Regedit
  • Перейдите к: Компьютер \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ Параметры
  • Если DisableServerHeader не существует, создайте его (DWORD 32bit) и присвойте ему значение 2. Если он существует, а значение не равно 2, установите его равным 2.
  • Перезагрузите сервер ИЛИ перезапустите службу HTTP, вызвав «net stop http», затем «net start http»

Ссылка: WS / WCF: удалить заголовок сервера

После добавления раздела реестра ответ выглядит так:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Размещать здесь, чтобы люди, которые нуждаются в этом, могли найти его. (Спасибо, Орам!)

Джеффри МакГи
источник
1

Наиболее распространенная причина для этого заголовка ответа сервера - это когда IIS не может определить, какой веб-сайт обслуживать.

IIS ответит этим заголовком сервера, если оба условия верны

  • запрос содержит нераспознанный заголовок узла
  • веб-сайт по умолчанию не настроен

Альтернативно, если конфигурация для веб-сайта, который IIS пытается доставить, искажена, она будет проигнорирована и будет считаться отсутствующей, что также будет иметь тот же эффект.

Cheekysoft
источник
1
Есть больше способов, чтобы этот заголовок появился. Этот заголовок означает, что HTTP.sys отправил ответ, а не рабочий процесс IIS. Я полагаю, что такие приложения, как ADFS 3, которые регистрируют URL-адрес в HTTP.sys, также отвечают этим заголовком.
Милопе
Я часто забываю, что запросы проходят через http.sys. Другой способ заставить этот заголовок - сделать iilegal-запрос, например server /%, и http.sys немедленно отклонит запрос, HTTP/1.1 400 Bad Request Server: Microsoft-HTTPAPI/2.0не передав его зарегистрированному обработчику
Cheekysoft
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.