identityServer4 中,/.well-known/openid-configuration 配置文件,被网监网络安全扫描认定为配置信息泄露,现在思考了各种方法,感觉只有通过改IDS4中的源代码,将访问这个文件的地方,改成访问本地配置文件,才能解决。现在编译又遇到版本问题,需要熟悉的兄弟帮忙。问题解决追加五百元现金感谢!
如果此应用程序暴露在公共网络中,那么您需要开始询问自己是否希望攻击者知道配置端点提供的信息。
攻击者只知道应用程序是一个身份验证服务器、到各种端点的路径、您支持的 OAuth2 流类型,以及其他一些小细节。如果您有面向公众的文档,那么这只是它的机器可读版本。
不要专注于阻止对配置端点的访问,而是确保您的 Auth 服务器端点已通过身份验证。在分发令牌之前,您应该检查 Client Id 和 Client Secret 是否存在且正确。
参考 oauth.com (该原理适用于所有端点):
If the introspection endpoint is left open and un-throttled, it presents a means for an attacker to poll the endpoint fishing for a valid token. To prevent this, the server must either require authentication of the clients using the endpoint, or only make the endpoint available to internal servers through other means such as a firewall.
这个不清楚,可以看看这篇文章:
http://t.zoukankan.com/stulzq-p-9594623.html