[研究]IIS 10.0 GCB，實測 Web.Config 多甚麼 - TRACE

[研究]IIS 10.0 GCB，實測 Web.Config 多甚麼 - TRACE

2025-01-16

IIS 10.0 套用 GCB 後，有些會變更現有 Web.Config 設定，要回頭改 Source Code，否則下次 Deploy 後，GCB 設定會被覆蓋消失。

環境：Visual Studio 2022 + ASP.NET + WebForm + Web Application + C# + SQL Server 2019 + SQL Server Management Studio (SSMS) 20.2

********************************************************************************

Web.Config 

<system.webServer> <security> <requestFiltering> <verbs> <add verb="TRACE" allowed="false" /> </verbs> </requestFiltering> </security> </system.webServer>

可能 No17 或 No.30 影響，兩者都有 TRACE，但應該是 No.30

[研究]IIS 10 GCB，ASP.NET設定建議，ASP.NET堆疊追蹤，移除或關閉 Trace (No.17)
https://shaurong.blogspot.com/2026/01/iis-10-gcbaspnetaspnet-trace.html

[研究]GCB，IIS 設定「拒絕 TRACE」影響 (No.30)
https://shaurong.blogspot.com/2025/11/tracegcbiis-trace.html

********************************************************************************

No.30

項次	TWGCB-ID	類別	原則設定名稱	說明	設定位置	設定路徑	GCB設定值
30	TWGCB-04-014-0030	要求篩選與其他限制模組	HTTP TRACE方法	▪這項原則設定決定允許或拒絕使用HTTP TRACE方法 ▪HTTP TRACE方法會傳回用戶端提交的HTTP請求內容，攻擊者可利用此方法繞過HttpOnly限制，來存取HTTP標頭中所包含的機敏資訊(如驗證資料或Cookie) ▪預設值為允許	伺服器	IIS管理員\伺服器\IIS\要求篩選\動作\開啟功能\HTTP指令動詞\動作\拒絕指令動詞\輸入「TRACE」	拒 絕

環境	TRACE 設定建議
開發機	允許（方便 debug，僅內網）
測試機	禁用或限制內網使用
正式機	禁用（安全性需求）

GCB 建議是「伺服器」層級，修改

%windir%\System32\inetsrv\config\applicationHost.config

「網站」層級是修改 Web.Config，理論上 Web.Config 應該不會被添加。

如果開發機，會用 Burp Suite、REST API測試工具 (例如：Postman) 測試在開發機建立的網站，不要拒絕 TRACE。

(完)

相關