我们最近都被scottgu警告过这个安全漏洞。 http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
我想知道,因为我在Application_Error事件中通过Global.asax重定向错误,我想知道这是否足以解决此问题,或者我是否仍需要在web.config上设置一个设置?
答案 0 :(得分:2)
问题在于(根据MS),无论您遇到什么具体错误,都需要以相同的方式回答ALWAYS。
您需要将用户重定向到错误404和500的同一页面。这就是为什么最简单的方法是使用web.config设置。
他们说这是暂时的,你可以在他们为此发布补丁后还原它。
这是斯科特对类似问题的回答:
我建议暂时更新模块,以便始终重定向到搜索页面。此攻击的工作方式之一是寻找404和500错误之间的区别。始终返回相同的HTTP代码并将它们发送到同一个地方是帮助阻止它的一种方法。
请注意,当修补程序出来修复此问题时,您不需要执行此操作(并且可以恢复为旧行为)。但就目前而言,我建议不要将404s和500s区分给客户。