【问题标题】:IIS ISAPI Extension Enumerate Root Web Server Directory VulnerabilityIIS ISAPI 扩展枚举根 Web 服务器目录漏洞
【发布时间】:2015-11-27 12:31:28
【问题描述】:

我正在支持由另一个开发人员开发的经典 asp 应用程序。此应用程序将面向公众。在公开之前,我们的网络团队运行了安全扫描并发现了一些问题。他们提到的问题之一如下:

修复 Microsoft IIS ISAPI 扩展枚举根 Web 服务器目录漏洞

他们提供了以下步骤来解决这个问题:

您可以将 IIS 7 配置为在返回错误消息之前检查文件是否存在。

  • 转到处理程序映射
  • 对于所有启用的 IISAPI 映射,编辑 ->
    请求限制 -> 勾选“仅当请求为”时才调用处理程序
    映射到:文件'
  • 禁用所有未使用的映射。

这将解决 以下问题:Microsoft IIS ISAPI Extension Enumerate Root Web 服务器目录漏洞 (HTTP-IIS-0013)。

我不熟悉经典 ASP,但我检查了处理程序映射并尝试了上述步骤。以下是我的问题:

  1. 是否有一种简单的方法可以识别未使用的处理程序?
  2. 有 50 多个处理程序,只有在请求映射到文件时,我才需要单击其中的每一个来调用处理程序:文件
  3. 这一切都可以通过 Web.config 处理吗?

【问题讨论】:

  • 您能找到更好的解决方案来解决这个漏洞吗?
  • 很遗憾没有。

标签: iis asp-classic


【解决方案1】:

您应该能够为远程用户关闭详细的错误消息,而不是更改映射。

在 IIS 管理器中选择您的网站,点击错误页面,编辑功能设置,选择本地请求的详细错误和远程请求的自定义错误页面。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2012-05-18
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-07-09
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多