Назад | Перейти на главную страницу

Риск безопасности? Microsoft-HTTPAPI / 2.0

Во время проверки безопасности наших машин я обнаружил, что один хост предоставляет доступ в Интернет к службе Microsoft-HTTPAPI / 2.0 через порт 80.

Я не знаком с этим, но после поиска в Google я обнаружил, что SQL Server 2008 по умолчанию публикует службы отчетов SQL Server на порту 80 и идентифицирует себя как HTTPAPI / 2.0. Хост также работает под управлением IIS7.

Я предполагаю, что это, вероятно, не то, что следует раскрывать миру. Может ли кто-нибудь предложить мне какую-либо информацию или совет относительно риска для безопасности, связанного с раскрытием этой услуги. 

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found

Если у вас нет веских причин выставлять его напоказ, то, вероятно, вам не стоит его выставлять. Кстати вас может заинтересовать Эта статья решать, стоит ли тебе разоблачать

Если заголовок сервера ответа возвращает «Microsoft-HttpApi / 2.0», это означает, что вместо IIS вызывается HTTP.sys. Эксплойты и сканирование портов используют это как средство снятия отпечатков с сервера IIS (даже того, который в противном случае скрывает заголовок сервера).

Вы можете проверить это, выдав ошибку с помощью CURL:

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

Вы увидите что-то подобное, если ваш сервер отправляет заголовок:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Вы можете добавить значение реестра, чтобы HTTP.sys не включал заголовок.

  • Открыть Regedit
  • Перейдите к: Computer \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ Parameters
  • Если DisableServerHeader не существует, создайте его (DWORD 32bit) и присвойте ему значение 2. Если он существует, а значение не 2, установите его на 2.
  • Перезагрузите сервер ИЛИ перезапустите службу HTTP, вызвав "net stop http", затем "net start http"

Ссылка: WS / WCF: удалить заголовок сервера

После добавления раздела реестра ответ будет выглядеть так:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Разместите здесь, чтобы люди, которым это нужно, могли это найти. (Спасибо, Орам!)

Попробуйте поискать уязвимости в базе данных эксплойтов для этого

Наиболее частая причина появления этого заголовка ответа сервера - это когда IIS не может определить, какой веб-сайт обслуживать.

IIS ответит этим заголовком сервера, если оба утверждения верны

  • запрос содержит нераспознанный заголовок Host
  • веб-сайт по умолчанию не настроен

В качестве альтернативы, если конфигурация веб-сайта, который IIS пытается доставить, искажена, она будет проигнорирована и считаться отсутствующей, что также будет иметь такой же эффект.