IIS ISAPI扩展枚举根Web服务器目录漏洞

时间:2015-09-02 06:05:33

标签: iis asp-classic

我支持另一个开发人员开发的经典asp应用程序。此应用程序将面向公众。在公开之前,我们的网络团队运行了安全扫描并发现了一些问题。他们提到的问题之一如下:

  

修复Microsoft IIS ISAPI扩展枚举根Web服务器目录漏洞

他们提供了以下步骤来解决此问题:

  

您可以配置IIS 7以在返回错误消息之前检查文件是否存在。

     
      
  • 转到处理程序映射
    •   
  • 对于所有已启用的IISAPI映射,编辑 - >
      请求限制 - >检查'仅在请求为
    时调用处理程序   映射到:文件'
    •   
  • 禁用所有未使用的映射。
    •   
     

这将解决      以下问题:Microsoft IIS ISAPI扩展枚举根网站      服务器目录漏洞(HTTP-IIS-0013)。

我不熟悉Classic ASP但是我检查了Handler映射并尝试了上面提到的步骤。以下是我的问题:

  1. 是否有一种简单的方法来识别未使用的处理程序?
  2. 只有在请求映射到以下内容时,我才需要单击50多个处理程序才能调用这些处理程序:File
  3. 这一切都可以从Web.config处理吗?

1 个答案:

答案 0 :(得分:1)

您应该能够为远程用户关闭详细的错误消息,而不是更改映射。

在IIS管理器中选择您的网站,单击错误页面,编辑功能设置,选择本地请求的详细错误以及远程请求的自定义错误页面。

相关问题
最新问题