使用 IIS 8 托管应用程序:漏洞 (CVE-1999-0450) 使用随机文件名调用 http get 时公开应用程序根路径
With IIS 8 hosted application: Vulnerability (CVE-1999-0450) Application root path disclosed when http get is called with random file name
我是 运行 ASP.NET IIS 8 上的应用程序。在安全漏洞 CVE-1999-0450 行中,当我使用 .pl/.idq/random 文件进行 http 获取时扩展整个应用程序根路径如下图所示。通常,unmapped/random 文件扩展名由静态文件处理程序处理。
我尝试了以下两个选项,但无法停止暴露根路径。
对于静态文件处理程序映射->编辑->请求限制->选中仅当请求映射到文件时调用处理程序。
删除了静态文件处理程序映射。在这种情况下,请求没有被任何处理程序处理,但仍然暴露了根路径。
如何避免?我正在考虑的一种选择是在 IIS->Site->Error 设置中关闭远程用户的详细错误。还有其他修复此安全漏洞的建议吗?
据我所知,THE CVE 适用于 IIS 版本 2 到 5 以及 1999 年的版本,它仅适用于 Perl.It 在 IIS 6 之后得到解决。
如果您不关闭远程用户的详细错误,它将始终显示物理路径供应用程序管理员找出原因更多 easily.This 不是
安全漏洞。
How do I avoid it? One option I am thinking is to turn off detailed error for remote users in IIS->Site->Error settings. Any other suggestions to fix this security vulnerability?
在我看来,在 IIS 中关闭远程用户的详细错误是避免显示扩展名的最佳选择。
我是 运行 ASP.NET IIS 8 上的应用程序。在安全漏洞 CVE-1999-0450 行中,当我使用 .pl/.idq/random 文件进行 http 获取时扩展整个应用程序根路径如下图所示。通常,unmapped/random 文件扩展名由静态文件处理程序处理。
我尝试了以下两个选项,但无法停止暴露根路径。
对于静态文件处理程序映射->编辑->请求限制->选中仅当请求映射到文件时调用处理程序。
删除了静态文件处理程序映射。在这种情况下,请求没有被任何处理程序处理,但仍然暴露了根路径。
如何避免?我正在考虑的一种选择是在 IIS->Site->Error 设置中关闭远程用户的详细错误。还有其他修复此安全漏洞的建议吗?
据我所知,THE CVE 适用于 IIS 版本 2 到 5 以及 1999 年的版本,它仅适用于 Perl.It 在 IIS 6 之后得到解决。
如果您不关闭远程用户的详细错误,它将始终显示物理路径供应用程序管理员找出原因更多 easily.This 不是 安全漏洞。
How do I avoid it? One option I am thinking is to turn off detailed error for remote users in IIS->Site->Error settings. Any other suggestions to fix this security vulnerability?
在我看来,在 IIS 中关闭远程用户的详细错误是避免显示扩展名的最佳选择。