Merhaba Arkadaşlar, bugünkü konumuz exchange üzerinde kullanmış olduğumuz mail hesabı giriş sayfası olan Owa sayfasının koruma altına alınması olacak.
Http header taramasında eğer bir korumamız yok ise saldırganlar sistem versiyonu gibi bir çok bilgiyi edinecekler ve siteden siteye script çalıştırabileceklerdir.
İşte bu nedenle Pentest tarafında sizlerin de eksik kalmaması adına yapılması gerek işlemleri paylaşacağım.
**Aşağıda yapacağımız işlemleri Exchange webconfig dosyasından yapmanızı tavsiye etmiyorum. Çoğu kez sisteme yansımadığını ve hata verdiğini gördüm.
Öncelikle kurulu olan Exhange serverımıza geliyoruz ve IIS servisi açıyoruz. Bizim Owa mız “Default Web Site” altında olduğu için tepede yapacağımız config (inherited) devir alınacaktır.
Ekleyeceğimiz parametreler aşağıdaki gibidir.
Yukarıdaki görselde gördüğünüz gibi seçili olan parametreleri aşağıya yazıyorum.
1- Content-Security-Policy
Name: Content-Security-Policy
Value: default-src ‘self’ https://*.microsoft.com https://*.sharepointonline.com data: ‘unsafe-inline’; script-src ‘self’ https://*.microsoft.com https://*.sharepointonline.com ‘unsafe-inline’ ‘unsafe-eval’; img-src data: https:;
NOT: Yazmış olduğum Value parametresi içerisinde bulunan Microsoft ve sharepoint linkleri owa tarafında kullanıldığı için ekledim. Eklemediğim durumda OWA nın yüklenmesinde hata olmamasına ragmen arka tarafta script vb. bazı şeylerin hata verdiğini gördüm.
Alternatif olarak aşağıdaki sadeleştirilmiş parametreyi kullanabilirsiniz.
Alternatif Value: default-src ‘self’ data: ‘unsafe-inline’;img-src data: https:;script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’
2- Strict-Transport-Security
Name: Strict-Transport-Security
Value: max-age=31536000; includeSubDomains
3- X-Content-Type-Options
Name: X-Content-Type-Options
Value: nosniff
4- X-Frame-Options
Name: X-Frame-Options
Value: SAMEORIGIN
5- X-XSS-Protection
Name: X-XSS-Protection
Value: 1; mode=block
Tüm bu belirtilen ayarları yaptıktan IIS i resetlemek aklınıza gelse de bazen doğru sonuç vermiyor. Daha sonra zor da olsa Exchange serverınızı uygun zamanda kapatıp açmanız gerekebilir.
Herkese iyi çalışmalar.