Blog: http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx - http://weblogs.asp.net/scottgu/archive/2010/09/24/update-on-asp-net-vulnerability.aspx

 

Url Scan ISS için HTTP talepleri filtrelemekte. ISS için bir eklenti denilebilir. Zararlı içerikleri veya sisteme zarar verebilecek kötü niyetli talepleri reddetmekte. aşağıda yolu ve adı verilen INI dosyası ile özelleştirilebilmekte.

 

geçenlerde hata sayfalarından faydalanıp asp.net projelerinin yapılandırma dosyası olan web.config dosyalarına erişilebiliyor olması ile ilgili MS bir bülten yayınlamıştı. Bu güncellenen araç ile bu sıkıntı ortadan kaldırılabilir.

 

bu kurulum sonrası;

%windir%\system32\inetsrv\urlscan\UrlScan.ini   dosyasını açıp [DenyQueryStringSequences] bölümünü bulun ve bu bölüm aşağıdaki gibi değişiklik yapın.

 

[DenyQueryStringSequences]
aspxerrorpath=

 

bu değişikliğin etkin olması için komut satırını kullanarak  iisreset   komutunu çalıştırın.