Risiko keamanan? Microsoft-HTTPAPI / 2.0


8

Sementara keamanan memeriksa mesin kami, saya menemukan bahwa satu host mengekspos layanan Microsoft-HTTPAPI / 2.0 melalui port 80 ke internet.

Saya tidak terbiasa dengan ini, tetapi setelah googling sekitar, saya menemukan bahwa SQL Server 2008 menerbitkan Layanan Pelaporan SQL Server pada port 80 oleh deafault dan mengidentifikasi dirinya sebagai HTTPAPI / 2.0. Tuan rumah juga menjalankan IIS7.

Saya menduga ini mungkin bukan sesuatu yang harus diekspos ke dunia. Adakah yang bisa memberi saya informasi atau saran tentang risiko keamanan mengekspos layanan ini.

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found

Jawaban:


7

Jika Anda tidak memiliki alasan yang baik untuk mengeksposnya, Maka Anda mungkin tidak boleh mengungkapkannya. Ngomong-ngomong, Anda mungkin tertarik pada artikel ini untuk memutuskan apakah Anda harus membuka atau tidak


2

Coba cari kerentanan dalam database eksploit untuk ini


2

Jika header Server respons mengembalikan "Microsoft-HttpApi / 2.0", itu berarti HTTP.sys dipanggil sebagai ganti IIS. Eksploitasi dan pindaian port menggunakan ini sebagai alat sidik jari server IIS (bahkan yang menyembunyikan header Server).

Anda dapat menguji ini dengan melemparkan kesalahan menggunakan CURL:

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

Anda akan melihat sesuatu seperti ini jika server Anda mengirim tajuk:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Anda dapat menambahkan nilai registri sehingga HTTP.sys tidak menyertakan header.

  • Buka Regedit
  • Arahkan ke: Computer \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ Parameter
  • Jika DisableServerHeader tidak ada, buat (DWORD 32bit) dan berikan nilai 2. Jika memang ada, dan nilainya tidak 2, setel ke 2.
  • Nyalakan ulang server ATAU mulai ulang layanan HTTP dengan memanggil "net stop http" lalu "net start http"

Referensi: WS / WCF: Hapus Server Header

Setelah Anda menambahkan kunci registri, responsnya terlihat seperti ini:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Posting di sini sehingga orang yang membutuhkan ini dapat menemukannya. (Terima kasih, Oram!)


1

Penyebab paling umum untuk tajuk respons Server ini adalah ketika IIS tidak dapat menentukan situs web mana yang akan ditayangkan.

IIS akan merespons dengan header Server ini ketika yang berikut ini benar

  • permintaan tersebut berisi tajuk Host yang tidak dikenal
  • tidak ada situs web default yang dikonfigurasi

Atau, jika konfigurasi untuk situs web yang IIS coba sampaikan salah format, itu akan diabaikan dan dianggap tidak ada, juga memiliki efek yang sama.


1
Ada banyak cara untuk menampilkan tajuk ini. Header ini berarti bahwa HTTP.sys mengirim respons, bukan proses pekerja IIS. Aplikasi seperti ADFS 3 saya percaya, yang mendaftarkan URL di HTTP.sys biasanya merespons dengan tajuk ini juga.
milope

Saya sering lupa bahwa permintaan melalui http.sys. Cara lain untuk memaksakan tajuk ini adalah dengan membuat permintaan iilegal misalnya server /% dan http.sys segera menolak permintaan dengan HTTP/1.1 400 Bad Request Server: Microsoft-HTTPAPI/2.0tanpa meneruskannya ke penangan terdaftar
Cheekysoft
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.