0

私の会社の年次セキュリティ/侵入テスト中に、aspx ページのチルダとショートネーム ファイルに関して次の問題が発生しました。

この件に関するホワイトペーパーはこちらです。URL の適切な場所にチルダを挿入すると、aspx ファイルの短い名前を見つけることができる、比較的新しく発見された脆弱性 (論文は 2012 年 6 月のもの) のようです。これを防ぐために、当社の Web サイトに対して行われた Web リクエストからすべてのチルダを削除する方法を探しています。

ホワイト ペーパーでは IIS 7 へのアップグレードを提案していますが、これは主要なプロジェクトであり、すぐには完了できません。C# .NET 4.0/IIS 6 を使用しています。ここでの経験があれば、正しい方向に向けてくれる人はいますか?

4

1 に答える 1

1

次のコードをglobal.asaxに追加するだけです。

Protected Sub Application_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs)

    If HttpContext.Current.Request.RawUrl.Contains("~") Then
        'do whatever - eg: stip the ~ or redirect to error page
    End If

End Sub
于 2012-11-26T12:29:57.070 に答える