0

我在 IIS 8 上运行 ASP.NET 应用程序。在安全漏洞 CVE-1999-0450 的行中,当我使用 .pl/.idq/random 文件扩展名进行 http get 时,整个应用程序根路径如下图所示. 通常,未映射/随机文件扩展名由静态文件处理程序处理。

在此处输入图像描述

我尝试了以下两个选项,但无法停止公开根路径。

  1. 对于静态文件处理程序 Mapping->Edit->Request Restriction->checked 仅当请求映射到文件时才调用处理程序。

  2. 删除了静态文件处理程序映射。在这种情况下,任何处理程序都不会处理请求,但仍会暴露根路径。

    我该如何避免呢?我正在考虑的一个选项是在 IIS-> 站点-> 错误设置中关闭远程用户的详细错误。还有其他修复此安全漏洞的建议吗?

4

1 回答 1

1

据我所知,THE CVE适用于 IIS 版本 2 到 5 以及 1999 年,它仅适用于 Perl。它在 IIS 6 之后得到解决。

如果您不关闭远程用户的详细错误,它将始终显示物理路径,以便应用程序管理员更容易找出原因。这不是安全漏洞。

我该如何避免呢?我正在考虑的一个选项是在 IIS-> 站点-> 错误设置中关闭远程用户的详细错误。还有其他修复此安全漏洞的建议吗?

在我看来,在 IIS 中关闭远程用户的详细错误是避免显示扩展名的最佳选择。

于 2019-02-15T09:14:02.880 回答