IIS ISAPI 扩展枚举根 Web 服务器目录漏洞

Question

我正在支持另一个开发人员开发的经典 asp 应用程序。此应用程序将面向公众。在公开之前，我们的网络团队进行了安全扫描并发现了一些问题。他们提到的其中一个问题如下:

Fix Microsoft IIS ISAPI Extension Enumerate Root Web Server Directory Vulnerability

他们提供了以下步骤来解决这个问题:

You can configure IIS 7 to check for the existence of a file before returning an error message.

• Go to Handler Mappings
• For all enabled IISAPI mappings, Edit ->
  Request Restrictions -> Check 'Invoke handler only if request is
  mapped to: File'
• Disable all unused mappings.

This will address the following issue: Microsoft IIS ISAPI Extension Enumerate Root Web Server Directory Vulnerability (HTTP-IIS- 0013).

我不熟悉经典 ASP，但我检查了处理程序映射并尝试了上述步骤。以下是我的问题:

1. 是否有一种简单的方法来识别未使用的处理程序？
2. 有 50 多个处理程序，只有当请求映射到文件时，我才需要单击其中的每一个来调用处理程序
3. 这一切都可以从 Web.config 中处理吗？

Answer 1

您应该能够为远程用户关闭详细的错误消息，而不是更改映射。

在 IIS 管理器中选择您的网站，单击错误页面，编辑功能设置，为本地请求选择详细错误，为远程请求选择自定义错误页面。