UrlScan または要求フィルターの規則を有効にし、ASP.NET カスタム エラーを有効にし、すべてのエラー コードを同じエラー ページにマップする
ASP.NET の customErrors 機能を有効にし、サーバーで発生したエラーに関わらず、常に同じエラー ページを返すようアプリケーションを明示的に構成すると、現在の悪用コードを悪用している攻撃者がサーバーで発生するエラーの種類を区別することがさらに困難になると考えられます。
.NET Framework バージョン 3.5 Service Pack 1 または 4.0 を使用しているコンピューターで、この回避策は現在確認している悪用コードのタイミング攻撃 (timing attack) の部分に対する保護も行うことにより、さらに保護を提供します。この回避策は customErrors 機能の redirectMode="ResponseRewrite" オプションを使用し、エラー ページにランダムな遅延を導入します。これらの対策が共に機能することで、サーバーがエラーを受け取るために要する時間を計測することにより、攻撃者がサーバーで発生したエラーの種類を推測することをさらに困難にします。
さらに、この回避策では、クエリ文字列のアプリケーション エラー パスを指定するリクエストをブロックする必要があります。これは、管理者により定義された規則を基にリクエストを選択的にブロックするインターネット インフォメーション サービス (IIS) 用の無償ツールである URLScan を使用して行うことができます。ご使用のコンピューターが Windows Vista Service Pack 2、Windows Server 2008 Service Pack 2、Windows 7 または Windows Server 2008 R2 上でインターネット インフォメーション サービス (IIS) を実行している場合、代わりに要求フィルター機能を使用することもできます。
リクエストのクエリ文字列上の ASP.NET アプリケーション エラー パスを変更するリクエストをブロックする UrlScan を使用する: 1. | UrlScan 3.1 (英語情報) をダウンロードし、インストールします。UrlScan の構成および使用に関する説明は、UrlScan 3 Reference (英語情報) をご覧ください。
| 2. |
UrlScan.ini (%windir%\system32\inetsrv\urlscan にあります) を変更します。Urlscan.ini ファイルの [DenyQueryStringSequences] セクションの下に次の行を挿入します。
aspxerrorpath=
その後、[DenyQueryStringSequences] セクションはこのようになります。(セクション内の追加の行は問題ありません。また、回避策に影響を及ぼすことはありません。)
[DenyQueryStringSequences]
aspxerrorpath= | 3. |
管理者としてログインし、コマンド プロンプトから iisreset を実行します。
|
IIS 要求フィルターを使用する:
これらの方法は Windows Vista Service Pack 2、Windows Server 2008 Service Pack 2、Windows 7 または Windows Server 2008 R2 上で IIS を実行しているコンピューターについて、上記の UrlScan を使用する方法の代わりとなるものです。
1. | [プログラムの追加と削除] または [ロール マネージャー] により IIS の要求フィルター機能をインストールします。[ロール マネージャー] では、[インターネット インフォメーション サービス]-[World Wide Web サービス]-[セキュリティ] の下の機能を選択します。 | 2. | [インターネット インフォメーション サービス (IIS) マネージャー] を起動します。 | 3. | 左ウィンドウのサーバー ノードを選択します。 | 4. | [要求フィルター] をダブルクリックします。 | 5. | [クエリ文字列] タブを選択し、[操作ウィンドウ] の [拒否するクエリ文字列…] をクリックします。 | 6. | ダイアログ ボックスに aspxerrorpath= と入力し、[OK] を選択します。 |
または、次の appcmdコマンドを使用してこのリクエスト クエリ文字列を設定することもできます。
appcmd set config /section:requestfiltering /+denyQueryStringSequences.[sequence='aspxerrorpath=']
appcmd を使用して IIS を構成することに関する詳細情報は、Getting Started with AppCmd.exe (英語情報) をご覧ください。
単一のカスタム エラーを使用するよう ASP.NET アプリケーションを構成する 各 ASP.NET の Web アプリケーションのルート フォルダーで、フォルダー内に web.config ファイルが存在するかどうかを確認してください。この回避策を実装するには、対象ディレクトリでファイルを作成する権限がある必要があります。 ASP.NET アプリケーションに web.config ファイルが存在しない場合: NET Framework 3.5またはそれ以前の製品 1. ASP.NET アプリケーションのルート フォルダー内に、web.config といファイル名のテキストファイルを作成し、次のコンテンツに挿入します。:
<configuration>
<location allowOverride="false">
<system.web>
<customErrors mode="On" defaultRedirect="~/error.html" />
</system.web>
</location>
</configuration>
2. 一般的なエラー メッセージを含む error.html というファイル名のテキスト ファイルを作成し、ASP.NET アプリケーションのルート フォルダーに保存します。 3. または、web.config ファイルの error html をリネームし、既存のエラー ページにポイントすることもできます。しかし、そのエラーページは、特定のコンテンツではなく、一般的なコンテンツを表示する必要があります。 .NET Framework 3.5 Service Pack 1 またはそれ以降の製品 1. ASP.NET アプリケーションのルート フォルダー内に、web.config といファイル名のテキストファイルを作成し、次のコンテンツに挿入します。
<configuration>
<location allowOverride="false">
<system.web>
<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
</system.web>
</location>
</configuration>
2. C# が使用できる場合は、次の ErrorPage.aspx ファイルを使用することを推奨します。
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<title></title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
3. Visual Basic .NET が使用できる場合は、次の ErrorPage.aspx ファイルを使用することを推奨します。
<%@ Page Language="VB" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
Sub Page_Load()
Dim delay As Byte() = New Byte(0) {}
Dim prng As RandomNumberGenerator = New RNGCryptoServiceProvider()
prng.GetBytes(delay)
Thread.Sleep(CType(delay(0), Integer))
Dim disposable As IDisposable = TryCast(prng, IDisposable)
If Not disposable Is Nothing Then
disposable.Dispose()
End If
End Sub
</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<title></title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
ASP.NET アプリケーションに web.config ファイルが既に存在する場合: NET Framework 3.5 出荷版 (RTM 版) またはそれ以前の製品 1. 既存の web.config ファイルに次のサンプル内の括弧内のテキストを挿入します。
<?xml version="1.0"?>
<configuration>
<configSections>
...
</configSections>
<appSettings>
...
</appSettings>
<connectionStrings>
...
</connectionStrings>
[<location allowOverride="false">
<system.web>
<customErrors mode="On" defaultRedirect="~/error.html" />
</system.web>
</location>]
<system.web>
...
</system.web>
<system.codedom>
...
</system.codedom>
</configuration>
2. 一般的なエラー メッセージを含む error.html というファイル名のテキスト ファイルを作成し、ASP.NET アプリケーションのルート フォルダーに保存します。 3. または、web.config ファイルの error html をリネームし、既存のエラー ページにポイントすることもできます。しかし、そのエラーページは、特定のコンテンツではなく、一般的なコンテンツを表示する必要があります。 .NET Framework 3.5 Service Pack 1 またはそれ以降の製品 1. 既存の web.config ファイルに次のサンプル内の括弧内のテキストを挿入します。
<?xml version="1.0"?>
<configuration>
<configSections>
...
</configSections>
<appSettings>
...
</appSettings>
<connectionStrings>
...
</connectionStrings>
[<location allowOverride="false">
<system.web>
<customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/ErrorPage.aspx" />
</system.web>
</location>]
</configuration>
<system.web>
...
</system.web>
<system.codedom>
...
</system.codedom>
</configuration>
2. C# が使用できる場合は、次の ErrorPage.aspx ファイルを使用することを推奨します。
<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
void Page_Load() {
byte[] delay = new byte[1];
RandomNumberGenerator prng = new RNGCryptoServiceProvider();
prng.GetBytes(delay);
Thread.Sleep((int)delay[0]);
IDisposable disposable = prng as IDisposable;
if (disposable != null) { disposable.Dispose(); }
}
</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<title></title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
3. Visual Basic .NET が使用できる場合は、次の ErrorPage.aspx ファイルを使用することを推奨します。
<%@ Page Language="VB" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>
<script runat="server">
Sub Page_Load()
Dim delay As Byte() = New Byte(0) {}
Dim prng As RandomNumberGenerator = New RNGCryptoServiceProvider()
prng.GetBytes(delay)
Thread.Sleep(CType(delay(0), Integer))
Dim disposable As IDisposable = TryCast(prng, IDisposable)
If Not disposable Is Nothing Then
disposable.Dispose()
End If
End Sub
</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<title></title>
</head>
<body>
<div>
An error occurred while processing your request.
</div>
</body>
</html>
回避策の影響: Web トランザクション中にエラーが発生した場合、実際発生しているエラーに関わらず、Web クライアントでもサーバー上と同様の一般的なエラー メッセージが発生します。 |