С размещенным в IIS 8 приложением: Уязвимость (CVE-1999-0450) Раскрывается корневой путь приложения при вызове http get со случайным именем файла

Question

Я запускаю приложение ASP.NET на IIS 8. В связи с уязвимостью безопасности CVE-1999-0450, когда я делаю http, получая с расширением файла .pl / .idq / random, весь корневой путь приложения отображается как визображение ниже.обычно несопоставленные / случайные расширения файлов обрабатываются статическим обработчиком файлов.

Я попробовал следующие два варианта, но не смог остановить отображение корневого пути.

1. Для статического обработчика файловMapping-> Edit-> Request Restriction-> флажок Обработчик вызова вызывается только в том случае, если запрос сопоставлен с файлом.

2. удалено статическое сопоставление обработчика файла.В этом случае запрос не обрабатывается никаким обработчиком, но все еще отображается корневой путь.

   Как мне избежать этого?Один вариант, который я думаю, это отключить детальную ошибку для удаленных пользователей в IIS-> Site-> Error settings.Любые другие предложения, чтобы исправить эту уязвимость безопасности?

Answer 1

Насколько я знаю, CVE предназначен для версий IIS со 2 по 5 и с 1999 года и только для Perl. Это решается после IIS 6.

Если выне отключайте подробные сообщения об ошибках для удаленных пользователей, всегда будет отображаться физический путь, по которому администратор приложения может легче найти причину. Это не уязвимость системы безопасности.

Как избежатьЭто?Один вариант, который я думаю, это отключить детальную ошибку для удаленных пользователей в IIS-> Site-> Error settings.Любые другие предложения по исправлению этой уязвимости безопасности?

На мой взгляд, отключить подробную ошибку для удаленных пользователей в IIS - лучший выбор, чтобы не показывать расширение.