URL重写以删除代字号

Question

在我公司的年度安全/渗透测试中，出现了以下有关aspx页面的代字号和短名称文件的问题：

Here是关于这个主题的白皮书。它看起来像是一个相对较新发现的漏洞(这篇文章来自2012年6月)，在url的正确位置插入波浪号可以让你找到aspx文件的短名称。我正在寻找一种方法，以删除所有波浪号从我们的网站上提出的网络请求，以防止这种情况。

白皮书建议升级到IIS 7，但这是一个不能很快完成的主要项目。我们使用的是C# .NET 4.0/IIS6。这里有经验的人可以给我指个方向吗？

Answer 1

您只需将以下代码添加到global.asax：

Protected Sub Application_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs)

    If HttpContext.Current.Request.RawUrl.Contains("~") Then
        'do whatever - eg: stip the ~ or redirect to error page
    End If

End Sub