我正在运行 Exchange 2007 SP3,它仅通过 HTTPS 公开 outlook web 访问。然而,服务器在没有设置标志的情况下传送sessionidcookie 。secure即使我没有打开 80 端口,这个 cookie 仍然容易在发生中间人攻击时通过 80 端口被盗。它还会导致 PCI-DSS 故障
有谁知道我是否可以说服 Web 服务器/应用程序设置安全标志?
在对我们的机器进行安全审查时,我发现一台主机正在通过端口 80 向 Internet 公开 Microsoft-HTTPAPI/2.0 服务。
我对此并不熟悉,但是在谷歌搜索之后,我发现 SQL Server 2008 默认在端口 80 上发布 SQL Server Reporting Services,并将其自身标识为 HTTPAPI/2.0。主机也在运行 IIS7。
我猜这可能不是应该暴露给世界的东西。任何人都可以向我提供有关公开此服务的安全风险的任何信息或建议吗?
Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315
404 Not Found