Мы пытаемся обеспечить соответствие требованиям PCI на некоторых наших веб-сайтах. После внешнего сканирования у нас все еще есть эта уязвимость:
Сводка: удаленный веб-сервер подвержен уязвимости раскрытия информации. Описание. Похоже, что на удаленном узле запущена версия IIS, которая позволяет удаленным пользователям определять, какие схемы аутентификации требуются для конфиденциальных веб-страниц. То есть, запрашивая действительные веб-страницы с намеренно недопустимыми учетными данными, вы можете выяснить, используется ли схема аутентификации. Это может быть использовано для атак грубой силы на известные идентификаторы USerID.
Как исправить это в IIS?
Спасибо
Нам нужно было ОТМЕНИТЬ «Встроенная проверка подлинности Windows» в свойствах сайта IIS:
Я повторно просканировал после внесения этого изменения, и мы прошли проверку на соответствие.