Как исправить aspx?Dir=http://externalwebsite.com Уязвимость IIS 8.5

Question

Как исправить aspx?Dir=http://externalwebsite.com Уязвимость IIS 8.5

Я работаю над разработкой и подготовкой серверов IIS для публикации и тестирования веб-приложений, которые мы разрабатываем. Пришел какой-то консультант по этическому взлому и предупредил нас об уязвимости, обнаруженной на некоторых наших серверах:

http://www.ourserver.com/default_logged.aspx?Dir=http://www.anyexternalsite.com

Эта уязвимость перенаправляет пользователя с нашего веб-сайта на внешний веб-сайт, позволяя им стать жертвами фишинга.

Я погуглил об этой уязвимости (каталог или обратный путь) и нашел эту ссылку:

https://www.cvedetails.com/cve/CVE-2014-4078/

Я последовал их совету установить некоторые обновления с этого официального сайта MS (для Windows Server 2012 R2):

https://technet.microsoft.com/library/security/ms14-076

Но проблема все еще там... если кто-то знает об этом и подскажет, как ее решить, я буду очень признателен.

Заранее спасибо.

0

security exploit iis-8.5 directory-traversal path-traversal

Источник

user5834307 20 фев '18 в 13:49

1 ответ

Другие вопросы по тегам security exploit iis-8.5 directory-traversal path-traversal

user2993875 20 фев '18 в 16:32 2018-02-20 16:32 · Answer 1 · 2018-02-20 16:32

Это не уязвимость обхода пути, поскольку обходчик пути может видеть внутренние файлы вашего сервера.

Это открытый редирект, где ваш сайт перенаправляет пользователей на другой сайт.

Решение может быть:

Если вы можете избежать перенаправления, сделайте это.
Если нет, выполните проверку, чтобы убедиться, что вы перенаправляете туда, куда вы хотите отправить пользователя, например, URL своего собственного веб-сайта (или другой доверенный URL).