Уязвимость ASP .NET — обновление


Необходима дополнительная мера для полной защиты от атак Oracle на сайты ASP .NET.

Скот Гатри, похоже, все еще занимается распространением новостей о текущих проблемах безопасности ASP .NET. Последнее обновление его блога содержит пересмотренные инструкции по защите сайтов от атак, которые в основном включают некоторые дополнительные меры.

В дополнение к предыдущим шагам теперь вы должны также установить и настроить модуль IIS URLScan (версия x86 или версия x64).
После установки URLScan измените файл UrlScan.ini в этом месте:
% windir% \ system32 \ inetsrv \ urlscan \ UrlScan.ini
Внизу файла UrlScan.ini вы найдете раздел [DenyQueryStringSequences].
Добавьте дополнительную запись «aspxerrorpath =» непосредственно под ним и затем сохраните файл:
[DenyQueryStringSequences]
aspxerrorpath =

Приведенная выше запись запрещает URL-адресам, имеющим атрибут «aspxerrorpath =» строки запроса, попадать в приложения ASP.NET, и вместо этого приведет к тому, что веб-сервер вернет ошибку HTTP. Добавление этого правила не позволяет злоумышленникам различать разные типы ошибок, возникающих на сервере, что помогает блокировать атаки с использованием этой уязвимости.
После сохранения этого изменения запустите «iisreset» из командной строки (с повышенными правами администратора), чтобы указанные выше изменения вступили в силу. Чтобы убедиться, что изменение было внесено, попробуйте получить доступ к URL-адресу на вашем сайте / в приложении, в котором есть строка запроса с aspxerrorpath, и убедитесь, что сообщение об ошибке HTTP отправлено обратно из IIS.


Добавить комментарий