主页 / server / 问题 / 52199
Accepted
Cheekysoft
Asked: 2009-08-11 02:52:00 +0800 CST

安全风险?微软-HTTPAPI/2.0

  • 772

在对我们的机器进行安全审查时,我发现一台主机正在通过端口 80 向 Internet 公开 Microsoft-HTTPAPI/2.0 服务。

我对此并不熟悉,但是在谷歌搜索之后,我发现 SQL Server 2008 默认在端口 80 上发布 SQL Server Reporting Services,并将其自身标识为 HTTPAPI/2.0。主机也在运行 IIS7。

我猜这可能不是应该暴露给世界的东西。任何人都可以向我提供有关公开此服务的安全风险的任何信息或建议吗?

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found
security iis ssrs

4 个回答

  1. 如果响应的 Server 标头返回“Microsoft-HttpApi/2.0”,则表示调用的是 HTTP.sys 而不是 IIS。漏洞利用和端口扫描将其用作识别 IIS 服务器(即使是隐藏服务器标头的服务器)的一种手段。

    您可以通过使用 CURL 抛出错误来测试它:

    curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

    如果您的服务器正在发送标头,您将看到如下内容:

    HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

    您可以添加一个注册表值,以便 HTTP.sys 不包含标头。

    • 打开注册表
    • 导航到:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
    • 如果 DisableServerHeader 不存在,则创建它(DWORD 32 位)并给它一个值 2。如果它确实存在,并且值不是 2,则将其设置为 2。
    • 重新启动服务器或通过调用“net stop http”然后“net start http”重新启动 HTTP 服务

    参考:WS/WCF:删除服务器标头

    添加注册表项后,响应如下所示:

    HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

    在这里发帖,让有需要的人可以找到。(谢谢,奥拉姆!)

    • 9

  2. 如果您没有任何充分的理由公开它,那么您可能不应该公开它。顺便说一句,您可能对本文感兴趣,以决定是否应该公开它

    • 8

  3. 尝试在漏洞利用数据库中寻找漏洞

    • 2
  4. Best Answer

    此服务器响应标头的最常见原因是 IIS 无法确定要服务的网站。

    当以下都为真时,IIS 将使用此服务器标头进行响应

    • 请求包含无法识别的 Host 标头
    • 没有配置默认网站

    或者,如果 IIS 尝试传递的网站的配置格式不正确,它将被忽略并视为不存在,也具有相同的效果。

    • 2

相关问题