Назад | Перейти на главную страницу

Соответствие IIS 6.0 PCI - «Уязвимость, связанная с раскрытием информации»

Мы пытаемся обеспечить соответствие требованиям PCI на некоторых наших веб-сайтах. После внешнего сканирования у нас все еще есть эта уязвимость:

Сводка: удаленный веб-сервер подвержен уязвимости раскрытия информации. Описание. Похоже, что на удаленном узле запущена версия IIS, которая позволяет удаленным пользователям определять, какие схемы аутентификации требуются для конфиденциальных веб-страниц. То есть, запрашивая действительные веб-страницы с намеренно недопустимыми учетными данными, вы можете выяснить, используется ли схема аутентификации. Это может быть использовано для атак грубой силы на известные идентификаторы USerID.

Как исправить это в IIS?

Спасибо

Нам нужно было ОТМЕНИТЬ «Встроенная проверка подлинности Windows» в свойствах сайта IIS:

  • щелкните правой кнопкой мыши веб-сайт в IIS, выберите «Свойства»
  • нажмите ВКЛАДКУ "Безопасность каталога"
  • в разделе «Аутентификация и контроль доступа» нажмите «Изменить»
  • в разделе «Доступ с проверкой подлинности» ОТКЛЮЧИТЕ «встроенную проверку подлинности Windows»

Я повторно просканировал после внесения этого изменения, и мы прошли проверку на соответствие.