L'applicazione Web reagisce in modo diverso ai nomi riservati di Windows come CON, AUX, NUL

5

Diverse applicazioni Web che ho testato hanno il comportamento che riservava i nomi di file Windows come AUX, CON, NUL, PRN, COM1, LPT1 hanno un comportamento diverso rispetto ad altre pagine. Ad esempio, http://example.com/foo darà un 404, dove http://example.com/aux darà un errore di 500.

Che cosa causa questo comportamento? Questo indica un problema di sicurezza?

    
posta Sjoerd 20.02.2017 - 09:52
fonte

1 risposta

1

Per impostazione predefinita su un server IIS, il percorso di un URL viene convalidato utilizzando le stesse regole che determinano se un percorso del file system Windows è valido. Quindi questo è il motivo per cui http://example.com/aux può dare un 500 (aux è un nome di directory non valido) ma http://example.com/foo a 404 (foo è ok). Questo comportamento può essere disabilitato impostando relaxedUrlToFileSystemMapping = true in web.config.

Oltre a una possibile divulgazione di informazioni di piccole dimensioni che si sta eseguendo un server IIS non vi è alcun problema di sicurezza.

    
risposta data 16.07.2017 - 10:28
fonte

Leggi altre domande sui tag