2025年11月4日 星期二

[研究]ASP.NET WebForm 網站,IIS 10 中「要求篩選」畫面預設所列的副檔名用途是甚麼?

[研究]ASP.NET WebForm 網站,IIS 10 中「要求篩選」畫面預設所列的副檔名用途是甚麼?

2025-11-04

********************************************************************************

Windows Server 從Windows Server 2016開始,IIS為10.0版,後續 Windows Server 2019, Windows Server 2022, Windows Server 2025 也都是 10.0版,大版本號碼相同,小版本可能不同,畫面幾乎相同。

政府組態基準(Government Configuration Baseline,簡稱GCB)

TWGCB-04-014_Microsoft IIS 10政府組態基準說明文件v1.1_1141002

https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/GCB/GCB_Documentation/

https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/attachfilegcb/TWGCB-04-014_Microsoft%20IIS%2010%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6v1.1_1141002.pdf

https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/attachfilegcb/TWGCB-04-014_Microsoft%20IIS%2010%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6v1.1_1141002.docx

項次 TWGCB-ID 類別 原則設定名稱 說明 設定位置 設定路徑 GCB設定值
31 TWGCB-04-014-0031 要求篩選與其他限制模組 允許未列出的副檔名 ▪這項原則設定決定是否允許未列出的副檔名在網頁伺服器上被執行
▪限制網頁伺服器只能執行特定之檔案類型,可提升安全性
▪在取消勾選「允許未列出的副檔名」後,必須將網站中所有使用到之副檔名(例如:.asax、.cs及.html等)加入允許清單,網頁才能正常運作		 伺服器 ▪取消勾選:
IIS管理員\伺服器\IIS\要求篩選\動作\開啟功能\動作\編輯功能設定\一般\不勾選「允許未列出的副檔名」
▪新增允許副檔名:
IIS管理員\伺服器\IIS\要求篩選\動作\開啟功能\動作\允許副檔名		 不允許






********************************************************************************

ASP.NET WebForm 網站,IIS 10 中「要求篩選」允許的所有副檔名應該包含甚麼?
.asax .ascx .master .skin .browser .sitemap .config .cs .csproj .vb .vbproj .webinfo .resx .resources .vjsproj .java .jsl .ldb .dsdgm .ssdgm .lsad .ssmap .cd .dsprototype .Isaprototype .sdm .sdmDocument .mdf .ldf .ad .dd .ldd .sd .adprototype .Iddprototype .exclude .refresh .compiled .msgx .vsdisco .rules

ChatGPT 

它們都不應被透過網頁直接要求或下載,否則會造成原始碼或伺服端邏輯外洩。

副檔名 用途 為什麼要封鎖
.asax ASP.NET 全域應用程式事件(Global.asax) 含事件程式碼與邏輯,不應公開
.ascx User Control (使用者控制項) 含伺服端邏輯
.master 網站母版頁 (Master Page) 定義網頁外觀與程式碼
.skin ASP.NET Theme 外觀檔 雖非執行檔,但屬伺服端資源
.browser 瀏覽器定義檔 內含伺服端設定
.sitemap 網站導覽設定 內含路由或結構資訊
.config 設定檔(例如 web.config, app.config) 高風險敏感資訊
.cs, .vb, .java 程式原始碼 洩漏伺服端邏輯
.csproj, .vbproj, .vjsproj Visual Studio 專案檔 洩漏開發結構與引用
.resx, .resources 資源檔(字串、多語系) 含內部文字資料
.webinfo Visual Studio Web 專案設定 洩漏專案環境
.ldb, .mdf, .ldf 資料庫檔案 (Access lock / SQL DB) 洩漏資料
.msgx Message-based ASP.NET 檔案 伺服端邏輯
.vsdisco Web Service Discovery 檔 洩漏服務端資訊
.rules 工作流程或安全規則 洩漏邏輯
.compiled ASP.NET 編譯後描述檔 洩漏編譯結構
.exclude, .refresh Visual Studio 相依檔 洩漏內部路徑
.ad, .dd, .sd 系列 設計模型檔(.NET DSL Designer) 洩漏模型結構
.cd, .ssmap, .sdm, .lsad... Visual Studio 設計圖、架構圖 洩漏系統設計
.Isaprototype, .dsprototype, .Iddprototype Prototype 設計檔 洩漏設計資訊

(完)



張貼者:
標籤: , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)