Риск безопасности? Microsoft-HTTPAPI / 2,0

Пока система безопасности проверяла наши машины, я обнаружил, что один хост выставляет интернет-сервис Microsoft-HTTPAPI / 2.0 через порт 80.

Я не знаком с этим, но после поиска, я обнаружил, что SQL Server 2008 публикует службы отчетов SQL Server по порту 80 по умолчанию и идентифицирует себя как HTTPAPI / 2.0. Хост также работает под управлением IIS7.

Я предполагаю, что это, вероятно, не то, что должно быть открыто миру. Может ли кто-нибудь предложить мне какую-либо информацию или совет относительно угрозы безопасности, связанной с использованием этой услуги.

Response Headers - http://#.#.#.#/
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Mon, 10 Aug 2009 10:44:25 GMT
Connection: close
Content-Length: 315

404 Not Found

Если у вас нет веских причин, чтобы разоблачить это, то, вероятно, вам не следует это подвергать. Кстати, вы можете быть заинтересованы в этой статье, чтобы решить, стоит ли вам это делать или нет.

Попробуйте найти уязвимости в базе данных эксплойтов для этого

Если заголовок сервера ответа возвращает «Microsoft-HttpApi / 2.0», это означает, что вместо IIS вызывается HTTP.sys. Эксплойты и сканирование портов используют это как средство снятия отпечатков с сервера IIS (даже если он скрывает заголовок сервера).

Вы можете проверить это, выдав ошибку, используя CURL:

curl -v http://www.yourdomain.com/ -H "Range: bytes=00-18446744073709551615"

Вы увидите что-то вроде этого, если ваш сервер отправляет заголовок:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Вы можете добавить значение реестра, чтобы HTTP.sys не включал заголовок.

• Открыть Regedit
• Перейдите к: Компьютер \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ Параметры
• Если DisableServerHeader не существует, создайте его (DWORD 32bit) и присвойте ему значение 2. Если он существует, а значение не равно 2, установите его равным 2.
• Перезагрузите сервер ИЛИ перезапустите службу HTTP, вызвав «net stop http», затем «net start http»

Ссылка: WS / WCF: удалить заголовок сервера

После добавления раздела реестра ответ выглядит так:

HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Date: Thu, 19 Dec 2019 00:45:40 GMT
Connection: close
Content-Length: 339

Размещать здесь, чтобы люди, которые нуждаются в этом, могли найти его. (Спасибо, Орам!)

Наиболее распространенная причина для этого заголовка ответа сервера - это когда IIS не может определить, какой веб-сайт обслуживать.

IIS ответит этим заголовком сервера, если оба условия верны

• запрос содержит нераспознанный заголовок узла
• веб-сайт по умолчанию не настроен

Альтернативно, если конфигурация для веб-сайта, который IIS пытается доставить, искажена, она будет проигнорирована и будет считаться отсутствующей, что также будет иметь тот же эффект.