IIS ISAPI 扩展枚举根 Web 服务器目录漏洞

标签 iis asp-classic

我正在支持另一个开发人员开发的经典 asp 应用程序。此应用程序将面向公众。在公开之前,我们的网络团队进行了安全扫描并发现了一些问题。他们提到的其中一个问题如下:

Fix Microsoft IIS ISAPI Extension Enumerate Root Web Server Directory Vulnerability

他们提供了以下步骤来解决这个问题:

You can configure IIS 7 to check for the existence of a file before returning an error message.

  • Go to Handler Mappings
  • For all enabled IISAPI mappings, Edit ->
    Request Restrictions -> Check 'Invoke handler only if request is
    mapped to: File'
  • Disable all unused mappings.

This will address the following issue: Microsoft IIS ISAPI Extension Enumerate Root Web Server Directory Vulnerability (HTTP-IIS- 0013).

我不熟悉经典 ASP,但我检查了处理程序映射并尝试了上述步骤。以下是我的问题:

  1. 是否有一种简单的方法来识别未使用的处理程序?
  2. 有 50 多个处理程序,只有当请求映射到文件时,我才需要单击其中的每一个来调用处理程序
  3. 这一切都可以从 Web.config 中处理吗?

最佳答案

您应该能够为远程用户关闭详细的错误消息,而不是更改映射。

在 IIS 管理器中选择您的网站,单击错误页面,编辑功能设置,为本地请求选择详细错误,为远程请求选择自定义错误页面。

关于IIS ISAPI 扩展枚举根 Web 服务器目录漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32345702/

上一篇:Jpa OneToMany 不坚持子

下一篇:generics - 使用类型级计算时类型推断/类型检查失败

相关文章:

asp-classic - 检索 ADO 记录集字段名称(经典 ASP)

vb6 - VB6和经典ASP静态代码分析

sql - 从经典 ASP 连接到 SQL Server 2008 的命名实例

asp.net - C# ASP.NET 网站使用哪个数据库?

javascript - 将 TCP 监听器或 HTTP 监听器与 IIS 一起使用

asp.net - 非 ASCII 字符需要 web.config 吗?

asp-classic - 在 VBScript 中输出 GUID 会忽略其后的所有文本

c# - 在 CKFinder v3 中将网站成员验证为用户

asp.net - HTTP 错误 500.22 - 内部服务器错误(已检测到不适用于集成托管管道模式的 ASP.NET 设置。)

asp.net - 将更新推送到 ASP.NET webfarm 的策略?

©2024 IT工具网  联系我们