AspNetMvc ヘッダがバージョン情報を公開
説明
対象となるウェブサイトは、このウェブサイトのバージョン情報と共に AspNet ヘッダを返します。攻撃者はこれらの値を公開することで、標的のソフトウェアが既知の脆弱性に対して脆弱であるかどうかを特定しようとする可能性があります。あるいは、特定のバージョンを実行している既知のサイトをカタログ化し、将来、特定のバージョンで脆弱性が確認されたときに悪用することができます。
対処法
X-AspNetMvc-Version の情報を削除するには、Application_Start() メソッドでGlobal.asax.cs ファイルにMvcHandler.DisableMvcResponseHeader = true; を設定します。
protected void Application_Start()
{
MvcHandler.DisableMvcResponseHeader = true;
}
詳細
| ID | 集計 | CWE | 種類 | リスク |
|---|---|---|---|---|
| 16.6 | true | 16 | 受動的 | 低 |