[研究]ASP.NET WebForm 網站用 HCL AppScan 掃描發現【臨時文件下載】弱點,如何處理?
2025-07-07
環境:Visual Studio 2022 + ASP.NET + WebForm + Web Application + C# + SQL Server 2019 + SQL Server Management Studio (SSMS) 20
********************************************************************************
临时文件下载
严重性: 中
CVSS 分数: 5.3
CVSS 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:X/RL:X/RC:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MPR:X/MUI:X/MS:X/MC:X/MI:X/MA:X
URL: /pic.aspx
实体: pic.aspx (Page)
风险: 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息
原因: 在生产环境中留下临时文件
固定值: 除去虚拟目录中的旧版本文件
TOC
差异: 路径 从以下位置进行控制: /pic.aspx 至: /pic3.aspx
推理: 测试尝试检索源代码文件。响应未产生错误且包含非 HTML 内容,表示源代码检索已成功。
未经处理的测试响应:
...
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Language: en-US
Cookie: _fbp=fb.3.1751854299152.332761253736085518
Referer: news.aspx
Content-Length: 0
HTTP/1.1 200 OK
********************************************************************************
ChatGPT 說:
【AppScan 的推論邏輯】
HCL AppScan 在進行「臨時文件下載」(Temporary File Download) 掃描時,通常會自動對既有頁面名稱進行變異測試,例如:
- 既有正式頁面:pic.aspx
- 變異測試請求:pic3.aspx、pic.aspx~、pic.aspx.bak、pic(1).aspx
依據您的報告:
- 正式存在頁面:pic.aspx
- 變異請求路徑:/pic3.aspx
AppScan 偵測結果:
- 請求 /pic3.aspx 未回應 404 或拒絕,而是回應 200 且有實際內容。
- 回應內容並非標準 HTML 結構,推測屬於程式碼片段或敏感內容。
- 因此認定:/pic3.aspx 很可能是開發測試版本、備份、舊版或誤上傳頁面,存在被下載、分析、攻擊的風險。
【常見臨時/備份檔名模式】
請檢查網站目錄是否存在下列類型文件:
檔案範例 說明
draw.aspx~ 編輯器產生的暫存檔
draw.aspx.bak 備份檔案
draw(1).aspx Windows 複製暫時版本
draw3.aspx 開發測試的多版本檔案
draw.aspx.old 舊版保留檔
draw.aspx.txt 源碼誤上傳為純文字檔
._draw.aspx Mac 系統隱藏檔
********************************************************************************
實際上,pic3.aspx 和 pic.aspx 都是正式的,pic3.aspx 不是臨時文件,要避免AppScan再次誤判,簡單的做法是把程式檔案名稱修改。
但是這個專案當初的開發者,有一系列的正式文件稱為 pic.aspx、pic2.aspx、pic3.aspx、、、等,決定先不理會了。
這種事情列【中】等級弱點,感覺AppScan誤判的過份了。
(完)
相關
沒有留言:
張貼留言