Я пытаюсь успокоить сбой сканирования PCI, который мы недавно сделали, в котором говорится:
Microsoft ASP.NET MS-DOS Имя устройства DoS
Описание: Платформа, используемая удаленным веб-сервером, имеет уязвимость типа «отказ в обслуживании». Воздействие. Веб-сервер, работающий на удаленном узле, использует Microsoft ASP.NET и может быть подвержен отказу в обслуживании. Запрос URL-адреса, содержащего имя устройства MS-DOS, может привести к тому, что веб-сервер временно перестанет отвечать на запросы.
Короче говоря, мы посещаем URL-адрес нашего приложения, например /AUX/.aspx
, мы получаем ошибку 500.
Я использую RequestFiltering для фильтрации этих запросов и вместо этого возвращаю 404, при этом сервер не пытается обработать запрос.
Выдержка из моего web.config приведена ниже:
<system.webServer>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence="/AUX/.aspx" />
</denyUrlSequences>
</requestFiltering>
</security>
</system.webServer>
Однако это не работает, он все еще возвращает 500.
Я ожидаю, что он вернет 404.
Если я добавлю следующий универсальный URL-адрес к denyUrlSequences
, то весь сайт выдаст ожидаемый 404.
<add sequence="/" />
Стоит отметить, что рассматриваемое приложение представляет собой приложение MVC, работающее на IIS 7.5 (Windows 2008 R2).
<customErrors>
, он работает как положено... - person Alex   schedule 15.01.2016