ディレクトリブラウズの試行で404を返すようにIISを構成する

Question

ディレクトリブラウズが無効になっているIIS（6または7）では、ディレクトリを参照しようとしたことを検出するとIISは "403-Forbidden"エラーを返します（ "http://mydomain.com/folder"など） 。

ディレクトリ閲覧の試行で「403」ではなく「404 - Not Found」エラーを返すようにIISを構成する方法はありますか。

これはasp.net webformsサイトです。

私たちのサイトのセキュリティスキャンでは、 "403"を返すと悪意のある人物が私たちのサイトにマップするのを助けるかもしれないと指摘しました。これまで考えていなかったが、それは理にかなっていることを認めなければならない。

Answer 1

IISを設定する方法が見つかりませんでしたが、asp.netジェネリックハンドラ（http://forums.asp.net/p/1478217/3453189.aspx、gvlahakisの答えにスクロールダウン）を使用して回避策を見つけました。 、上記ハンドラ、あなたが保護する必要があるフォルダごとに一つにしようと

public class DirectoryBrowsingAttempt : IHttpHandler 
{ 
    public bool IsReusable {get {return true;} 
    public void ProcessRequest(HttpContext context) {context.Response.StatusCode = 404;} 
} 

第二には、ポイント・ディレクトリのブラウジングにweb.configファイルにタグを追加：

まず、404を返すジェネリックハンドラを作成しますhttpHandlersセクションとsystem.webServerセクションの両方にあります。以下のタグは、 "js"という名前のフォルダをルートから保護します。

<httpHandlers> 
    <add verb="*" path="js/*" validate="false" type="MyNameSpace.DirectoryBrowsingAttempt"/> 
</httpHandlers> 
<system.webServer> 
<handlers> 
    <add name="NoAccess" verb="*" path="js/*" preCondition="integratedMode" type="MyNameSpace.DirectoryBrowsingAttempt"/> 
</handlers> 

この回避策は、例えばIIS 7対IIS 6で異なる動作を、私はこのようにサイトの画像が含まれていたフォルダを保護：6は、まだこのフォルダに含まれる画像を配信IIS Webページ（希望の動作、私はちょうどディレクトリ閲覧の試みをブロックしたい）; IIS 7はそれらをブロックしました。

web.configの "location"タブを使用して、デフォルトのイメージハンドラを上書きしてイメージを表示できるようにする方法はおそらくありますが、私はウサギの穴から遠くへ行くことを望んでいません。

Answer 2

IIS（7以上）では、[リクエストフィルタ]に移動し、[隠しセグメント]というタブがあります。あなたはASP.Net MVCは、web.configファイルに次のハンドラを追加使用している場合、あなたはちょうどあなたが隠すことにしたいディレクトリの名前を追加することができ、それが今404

Answer 3

を返します

<system.webServer> 
    <handlers> 
    <add name="StopDirectoryBrowsing" path="*." resourceType="Directory" verb="*" 
     preCondition="integratedMode" type="System.Web.HttpNotFoundHandler" /> 
    </handlers> 
<system.webServer>