ASP.NET 配置文件启用了目录浏览¶
ID: cs/web/directory-browse-enabled
Kind: problem
Security severity: 6.5
Severity: warning
Precision: very-high
Tags:
- security
- external/cwe/cwe-548
Query suites:
- csharp-code-scanning.qls
- csharp-security-extended.qls
- csharp-security-and-quality.qls
启用目录浏览的 ASP.NET 应用程序可能会向攻击者泄露敏感信息。漏洞的确切性质取决于列出和可访问的文件。
建议¶
如果此配置可能用于生产环境,请从 Web.config 文件中删除 directoryBrowse 元素,或将其值设置为 false。
示例¶
以下示例显示了 ASP.NET 的 Web.config 文件中 directoryBrowse 的 enable 属性设置为 true
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.webServer>
<directoryBrowse enable="true"/>
...
</system.web>
</configuration>
要解决此问题,应将 enable 属性设置为 false,或完全删除 directoryBrowse 元素
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
<system.webServer>
<directoryBrowse enable="false"/>
...
</system.web>
</configuration>
参考¶
MSDN:directoryBrowse 元素。
常见弱点枚举:CWE-548。