aspxerrorpath =/url에서 사용자 정의 오류 페이지가 작동하지 않습니다.

Question

사이트 pci를 준수하려고합니다.

당신은 (더미 IP를) 방문하는 경우 : HTTP : 그러나

: someipaddress이/ZNYTMHXO.ashx

그런 다음 사용자가 제대로 나는 내 웹 설정에 명시된 한 페이지에서 HTML을보고 같은 URL을 사용하지만 만약에 aspxerrorpath =/쿼리 문자열 : HTTP : someipaddress/ZNYTMHXO.ashx aspxerrorpath =

그런 다음 페이지가 '/'응용 프로그램에 서버 오류 표시 /?. 런타임 에러.

이것은 pci 스캔에 실패했습니다.

왜이 변수가 문제입니까?

죄송합니다. ZNYTMHXO.ashx가 존재하지 않는다고 명시해야합니다. 404 리다이렉션은 asperrorpath가 쿼리 문자열에 없을 때 작동합니다.

----- 업데이트 ----- 그냥 도움이되는데, 이것은 매우 제한된 페이지의 html입니다.

<!DOCTYPE html> 
<html> 
    <head> 
     <title>Runtime Error</title> 
     <meta name="viewport" content="width=device-width" /> 
     <style> 
     body {font-family:"Verdana";font-weight:normal;font-size: .7em;color:black;} 
     p {font-family:"Verdana";font-weight:normal;color:black;margin-top: -5px} 
     b {font-family:"Verdana";font-weight:bold;color:black;margin-top: -5px} 
     H1 { font-family:"Verdana";font-weight:normal;font-size:18pt;color:red } 
     H2 { font-family:"Verdana";font-weight:normal;font-size:14pt;color:maroon } 
     pre {font-family:"Consolas","Lucida Console",Monospace;font-size:11pt;margin:0;padding:0.5em;line-height:14pt} 
     .marker {font-weight: bold; color: black;text-decoration: none;} 
     .version {color: gray;} 
     .error {margin-bottom: 10px;} 
     .expandable { text-decoration:underline; font-weight:bold; color:navy; cursor:hand; } 
     @media screen and (max-width: 639px) { 
      pre { width: 440px; overflow: auto; white-space: pre-wrap; word-wrap: break-word; } 
     } 
     @media screen and (max-width: 479px) { 
      pre { width: 280px; } 
     } 
     </style> 
    </head> 

    <body bgcolor="white"> 

      <span><H1>Server Error in '/' Application.<hr width=100% size=1 color=silver></H1> 

      <h2> <i>Runtime Error</i> </h2></span> 

      <font face="Arial, Helvetica, Geneva, SunSans-Regular, sans-serif "> 

      <b> Description: </b>An exception occurred while processing your request. Additionally, another exception occurred while executing the custom error page for the first exception. The request has been terminated. 
      <br><br> 

    </body> 
</html> 

Answer 1

다음 ScottGuthrie 블로그 게시물 http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx이 도움이됩니다.

는 "aspxerrorpath이 ="ASP.NET 응용 프로그램에 그들의 방법을 만들기에서 속성 를 쿼리 문자열이 URL을 허용하지 않습니다, 대신 의 원인이됩니다

그는에 IIS URL 검사 모듈을 사용하는 방법을 설명합니다 웹 서버가 HTTP 오류를 반환합니다. 이 규칙을 추가하면 공격자가 서버에 발생하는 다양한 유형의 오류를 구분할 수 없으므로이 취약점을 사용하여 공격을 차단할 수 있습니다.

그는 패치가 필요한 것으로보고 된 취약점에 대해 작성했습니다. 그러나 일부는 여전히 늦게. 닷넷 4.0 (여기에 언급 된 : Why does the ASP.NET error page return 404 as soon as the aspxerrorpath querystring is present?)

당신의 PCI 스캔이 같은 취약점을 악용하려고 가능성이 높습니다보고하고 있습니다. 취약점을 제거하면 통과해야합니다.

희망이 있습니다.