0
在我公司的年度安全/滲透測試,下面的問題就來了波浪線方面和短名稱文件aspx頁面:URL重寫刪除波浪線
Here是白皮書的主題。它看起來像是一個相對新發現的漏洞(本文從2012年6月開始),在URL中正確的位置插入折線圖可以讓您找到aspx文件的短名稱。我正在尋找一種方法來清除所有向我們網站發出的網頁請求以防止出現這種情況。
白皮書建議升級到IIS 7,但這是一個無法很快完成的重大項目。我們正在使用C#.NET 4.0/IIS 6.任何有經驗的人都可以指出我正確的方向嗎?
這不符合我的特殊問題提供幫助。它看起來像IIS處理URL的方式使得當使用白皮書中的方法時,它實際上從未實際獲取到任何應用程序代碼。我一直想知道Global.asax文件到底是什麼(我們的網站沒有,但我已經看到了它們),所以我讀了它並玩了一下。上面的建議確實可以將url從網址中刪除,如果它到達我的應用程序(這不會幫助我,因爲我的應用程序永遠不會被調用)。我很欣賞有機會學習新的東西。 –
您可以使用urlrewrite for II6來替代,這會在獲得您的應用程序之前處理請求。 –