2. 질의 응답
  3. aspxerrorpath =/url에서 사용자 정의 오류 페이지가 작동하지 않습니다.

aspxerrorpath =/url에서 사용자 정의 오류 페이지가 작동하지 않습니다.

2013-04-11 5 views
1

사이트 pci를 준수하려고합니다.aspxerrorpath =/url에서 사용자 정의 오류 페이지가 작동하지 않습니다.

당신은 (더미 IP를) 방문하는 경우 : HTTP : 그러나

: someipaddress이/ZNYTMHXO.ashx

그런 다음 사용자가 제대로 나는 내 웹 설정에 명시된 한 페이지에서 HTML을보고 같은 URL을 사용하지만 만약에 aspxerrorpath =/쿼리 문자열 : HTTP : someipaddress/ZNYTMHXO.ashx aspxerrorpath =

그런 다음 페이지가 '/'응용 프로그램에 서버 오류 표시 /?. 런타임 에러.

이것은 pci 스캔에 실패했습니다.

왜이 변수가 문제입니까?

죄송합니다. ZNYTMHXO.ashx가 존재하지 않는다고 명시해야합니다. 404 리다이렉션은 asperrorpath가 쿼리 문자열에 없을 때 작동합니다.

----- 업데이트 ----- 그냥 도움이되는데, 이것은 매우 제한된 페이지의 html입니다.

<!DOCTYPE html> 
<html> 
    <head> 
     <title>Runtime Error</title> 
     <meta name="viewport" content="width=device-width" /> 
     <style> 
     body {font-family:"Verdana";font-weight:normal;font-size: .7em;color:black;} 
     p {font-family:"Verdana";font-weight:normal;color:black;margin-top: -5px} 
     b {font-family:"Verdana";font-weight:bold;color:black;margin-top: -5px} 
     H1 { font-family:"Verdana";font-weight:normal;font-size:18pt;color:red } 
     H2 { font-family:"Verdana";font-weight:normal;font-size:14pt;color:maroon } 
     pre {font-family:"Consolas","Lucida Console",Monospace;font-size:11pt;margin:0;padding:0.5em;line-height:14pt} 
     .marker {font-weight: bold; color: black;text-decoration: none;} 
     .version {color: gray;} 
     .error {margin-bottom: 10px;} 
     .expandable { text-decoration:underline; font-weight:bold; color:navy; cursor:hand; } 
     @media screen and (max-width: 639px) { 
      pre { width: 440px; overflow: auto; white-space: pre-wrap; word-wrap: break-word; } 
     } 
     @media screen and (max-width: 479px) { 
      pre { width: 280px; } 
     } 
     </style> 
    </head> 

    <body bgcolor="white"> 

      <span><H1>Server Error in '/' Application.<hr width=100% size=1 color=silver></H1> 

      <h2> <i>Runtime Error</i> </h2></span> 

      <font face="Arial, Helvetica, Geneva, SunSans-Regular, sans-serif "> 

      <b> Description: </b>An exception occurred while processing your request. Additionally, another exception occurred while executing the custom error page for the first exception. The request has been terminated. 
      <br><br> 

    </body> 
</html>

출처

2013-04-11 Simon

+1

'서버 오류'/ '응용 프로그램'메시지 - 설명문 및/또는'컴파일러 오류 메시지'또는'소스 오류'와 같은 추가 정보가 있어야합니까? –

+0

그냥 위의 html을 추가했습니다 ... – Simon

+0

오류 페이지 출력을 이해하는 열쇠는'Description'에 있습니다. "요청을 처리하는 동안 예외가 발생했습니다. ** 또한 첫 번째 예외에 대한 사용자 지정 오류 페이지를 실행하는 동안 또 다른 예외가 발생했습니다. ** 요청이 종료되었습니다." 이것은 다른 오류를 처리하는 동안 오류 처리 자체에서 오류가 발생할 때 발생하는 그리 재미없는 시나리오입니다. 그러나 게시 된 답변을 확인하십시오. PCI 적합성 테스트를 통과하려면 수정해야 할 부분을 찾을 수있을 것입니다. –

답변

1

다음 ScottGuthrie 블로그 게시물 http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx이 도움이됩니다.

는 "aspxerrorpath이 ="ASP.NET 응용 프로그램에 그들의 방법을 만들기에서 속성 를 쿼리 문자열이 URL을 허용하지 않습니다, 대신 의 원인이됩니다

그는에 IIS URL 검사 모듈을 사용하는 방법을 설명합니다 웹 서버가 HTTP 오류를 반환합니다. 이 규칙을 추가하면 공격자가 서버에 발생하는 다양한 유형의 오류를 구분할 수 없으므로이 취약점을 사용하여 공격을 차단할 수 있습니다.

그는 패치가 필요한 것으로보고 된 취약점에 대해 작성했습니다. 그러나 일부는 여전히 늦게. 닷넷 4.0 (여기에 언급 된 : Why does the ASP.NET error page return 404 as soon as the aspxerrorpath querystring is present?)

당신의 PCI 스캔이 같은 취약점을 악용하려고 가능성이 높습니다보고하고 있습니다. 취약점을 제거하면 통과해야합니다.

희망이 있습니다.

출처

2013-04-11 22:07:10

 관련 문제

  • 관련 문제 없음^_^