我在一个我正在帮助客户的网站上做了一次渗透测试,这些工具报告说,像/index.php/login.php这样的URL可能容易受到攻击。问题在于,由于这是一个简单的php网站,通常这种URL应该是不可能的(没有包含文件“ login.php”的文件夹“ index.php”)。我想我可以为URL设置一些过滤器以清除它并重定向到第一个php文件。 这些网址的实际效果是浏览器进入无限循环,一遍又一遍地请求所有文件... 该网站正在使用框架集(不幸的是),我觉得它与此有关,但是找不到解决方法...
在IIS 5.3.63中使用IIS7