0

在我公司的年度安全/渗透测试期间,出现了以下关于 aspx 页面的波浪线和短名称文件的问题:

是有关该主题的白皮书。它看起来像是一个相对较新发现的漏洞(论文来自 2012 年 6 月),在 url 的正确位置插入波浪号可以让您找到 aspx 文件的短名称。我正在寻找一种方法来从向我们网站发出的网络请求中删除所有波浪号,以防止这种情况发生。

白皮书建议升级到 IIS 7,但这是一个无法很快完成的重大项目。我们正在使用 C# .NET 4.0/IIS 6。任何有经验的人都可以为我指明正确的方向吗?

4

1 回答 1

1

您可以将以下代码添加到 global.asax :

Protected Sub Application_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs)

    If HttpContext.Current.Request.RawUrl.Contains("~") Then
        'do whatever - eg: stip the ~ or redirect to error page
    End If

End Sub
于 2012-11-26T12:29:57.070 回答