我正在支持另一个开发人员开发的经典asp应用程序。此应用程序将面向公众。在公开之前,我们的网络团队进行了安全扫描,发现了一些问题。他们提到的一个问题如下:
修复Microsoft IIS ISAPI扩展枚举根Web服务器目录漏洞
,他们提供了以下步骤来解决这个问题:
您可以将IIS 7配置为在返回错误消息之前检查文件是否存在。
- 转到处理程序映射
- 对于所有启用的IISAPI映射,Edit ->
请求限制->检查'仅当请求是
时调用处理程序'映射到:File'- 禁用所有未使用的映射
这将解决以下问题:Microsoft IIS ISAPI扩展枚举根Web服务器目录漏洞(HTTP-IIS- 0013).
我不熟悉经典ASP,但我检查了处理程序映射并尝试了上述步骤。以下是我的问题:
- 是否有一种简单的方法来识别未被使用的处理程序?
- 有50+处理程序,我需要单击其中的每一个调用处理程序,只有当请求映射到:
- 这些都可以从Web.config处理吗?
您应该能够关闭远程用户的详细错误消息,而不是更改映射。
在IIS管理器中选择您的网站,单击错误页面,编辑功能设置,为本地请求选择详细错误,为远程请求选择自定义错误页面。