IIS ISAPI扩展枚举根Web服务器目录漏洞_Iis_Asp Classic

IIS ISAPI扩展枚举根Web服务器目录漏洞

iis asp-classic

IIS ISAPI扩展枚举根Web服务器目录漏洞,iis,asp-classic,Iis,Asp Classic,我支持另一个开发人员开发的经典asp应用程序。此应用程序将面向公众。在公开之前，我们的网络团队进行了安全扫描，发现了一些问题。他们提到的问题之一如下：修复Microsoft IIS ISAPI扩展枚举根Web服务器目录漏洞他们提供了以下步骤来解决这个问题：您可以将IIS 7配置为在返回错误消息之前检查文件是否存在转到处理程序映射对于所有启用的IISAPI映射，请编辑-> 请求限制->选中“仅当请求是映射到：文件' 禁用所有未使用的映射这将解决这个问题以下问题：Microsof

我支持另一个开发人员开发的经典asp应用程序。此应用程序将面向公众。在公开之前，我们的网络团队进行了安全扫描，发现了一些问题。他们提到的问题之一如下：

修复Microsoft IIS ISAPI扩展枚举根Web服务器目录漏洞

他们提供了以下步骤来解决这个问题：

您可以将IIS 7配置为在返回错误消息之前检查文件是否存在

转到处理程序映射
对于所有启用的IISAPI映射，请编辑->
请求限制->选中“仅当请求是
映射到：文件'
禁用所有未使用的映射

这将解决这个问题以下问题：Microsoft IIS ISAPI扩展枚举根站点服务器目录漏洞（HTTP-IIS-0013）

我不熟悉经典ASP，但我检查了处理程序映射并尝试了上述步骤。以下是我的问题：

是否有一种简单的方法来识别未使用的处理程序

有50多个处理程序，只有当请求映射到：File时，我才需要单击其中的每一个来调用处理程序吗

这些都可以从Web.config处理吗

您应该能够关闭远程用户的详细错误消息，而不是更改映射

在IIS管理器中选择您的网站，单击错误页面，编辑功能设置，为本地请求选择详细错误，为远程请求选择自定义错误页面。

您是否能够找到更好的解决此漏洞的方法？很遗憾，否。