检测常见ASP.NET配置安全漏洞

检测常见配置安全漏洞
看到⼀篇国外MVP 的⽂章: ，⼤意是依据他搜集到的统计数字，约67%的⽹站因配置不当，存在安全风险。

Troy Hunt⽂章的分析数据来⾃他所开发的⼀个简易⽹站扫瞄服务--, Automated Security Analyser for Websites。

使⽤者只要提供Internet上公开⽹站的URL，ASafaWeb会发出⼏个Request，藉此检查⽹站是否存在⼀些常见的安全漏洞。

由今年1⾄3⽉扫描过的⽹站记录，排除掉ASafaWeb测试⽹站及⾮⽹站后共有7,184份检测结果，Hunt做出简单的统计。

虽然我觉得这份结果由于是使⽤者主动提供⽹站进⾏检测，甚⾄⽆法排除⽤户会刻意制造问题情境考验ASafaWeb的检查效果，因此数据⾼低未必能精确反应实际情况，但还是很有参考价值，值得我们关⼼⼀下有哪些常见的配置漏洞，确定⾃⼰都了解并检查⼿边⽹站有⽆类似状况，绝对是件好事。

以下是Hunt列出的常见配置安全漏洞:
1. 未隐藏错误讯息
开发⼈员常会将<customErrors mode="Off" />⽅便排错，但正式上线时却忘了移除，导致⼀旦程序出错，相关程序代码细节甚⾄程序⽚段就⾚裸裸地展⽰出来。

⿊客可能由其中找到相关的⽂件位置、数据库信息、组件版本... 等信息，提供⼊侵的指引。

2. 关闭Request Validation
依Hunt的统计，近30%的⽹站豪迈地关闭了全站的Request验证。

若真有需要，针对页⾯关闭就好，⾄少伤害⾯变⼩，但如果⼼有余⼒，避开此限制保持后门紧闭还是上策。

3. 未更新Windows/IIS
去年底被揭露的HTTP POST Hash DoS漏洞，攻击者⽤简单的Request就能让⽹站忙到死去活来，终⾄服务瘫痪。

微软已在2⽉发布，但是似乎还有50%的⽹站未完成更新。

4. ELMAH存取未设限
关于ELMAH存取设定的风险之前也有⽂章《》提过，稍有不慎，程序⾥的秘密就会⼤放送，⼗分危险，甚⾄⿊客还可能藉此冒充⾝份，挺恐怖的。

5. 未关闭Trace
虽然⽐例不⾼，但通过trace.axd⿊客还是能搜集到很多重要情报，上线到正式环境时记得关闭。