Здравствуйте! X-Spider нашел уязвимость "Атака Anti DNS Pinning (DNS rebinding)": Атака Anti DNS Pinning (DNS rebinding) позволяет злоумышленнику манипулировать соответствием между IP-адресом и DNS-именем узла (FQDN) с целью запуска активного содержимого в контексте безопасности уязвимого сайта. Используя эту технику злоумышленник может использовать браузер жертвы для получения доступа к защищенным сайтам (например, находящимся за межсетевыми экранами или требующим аутентификации). В отличии от атаки типа «Подделка межсайтового запроса» (Cross-Site Request Forgery, CSRF), атака Anti DNS Pinning направлена на получение данных (нарушение конфиденциальности) а не на выполнение каких-либо действий с приложением (нарушение целостности). Но совместно с CSRF, атака Anti DNS Pinning может использоваться для полнофункционального доступа к Web-приложению через браузер пользователя.
Удалите виртуальные сайты «по умолчанию», отвечающие на HTTP-запросы с произвольным значением заголовка HOST. В IIS для этого надо установить непустое значение «Host header value» для всех Web-сайтов. В Apache необходимо установить непустое значение директивы ServerName для всех виртуальных сайтов и проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.
Не понял последнее предложение, есть два вопроса:
вопрос 1 - как установить непустое значение директивы ServerName для всех виртуальных сайтов
вопрос 2 - что подправить в конфиге и как проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.
Спасибо...
Удалите виртуальные сайты «по умолчанию», отвечающие на HTTP-запросы с произвольным значением заголовка HOST. В IIS для этого надо установить непустое значение «Host header value» для всех Web-сайтов. В Apache необходимо установить непустое значение директивы ServerName для всех виртуальных сайтов и проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.
Не понял последнее предложение, есть два вопроса:
вопрос 1 - как установить непустое значение директивы ServerName для всех виртуальных сайтов
вопрос 2 - что подправить в конфиге и как проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.
Спасибо...