Liebe/-r Experte/-in,
ich muß unseren Server vor einer Directory Enumeration Attacke schützen. Dafür habe ich die unerlaubten Verzeichnisse im Windows Explorer „versteckt“. Das Ansprechen des Verzeichnisses erzeugt nun einen Fehler 500 Interner Serverfehler. Das deutet aber auf ein vorhandenes Verzeichnis hin. Ich würde die Verzeichnisabfrage gern mit einem Fehler 404 beantworten, sodaß der Hacker denkt, dieses Verzeichnis existiert gar nicht. Habt Ihr irgendwelche Ideen?
Mfg
Sven Schulze
Hallo Sven,
ein alter Trick noch aus IIS 4-5 ist folgender:
lege in das Hauptverzeichnis der Website eine Serie von
Dateien mit folgender Benennung:
300.html bis 503.html
Die Anwesenheit dieser Dateien zwingt IIS zum
ausliefern von Fehlerseiten aus dem Website-
spezifischen Verzeichnis. Sonst verwendet er ja seinen
eigenen Set an Fehlermeldungen (das müssen wir
verhindern 
.
Falls IIS sich im Test weigert deine eigenen Dateien zu
verwenden, kannst Du über folgenden Pfad deine eigenen
Dateien anmelden:
=> Ausführen MMC
=> IIS Snapin anbinden
=> Website auswählen und rechte Maustaste drücken
=> => Settings (Eigenschaften) anklicken
=> => => Custom Errors Reiter wählen
Hier gibst deine eigenen Dateien mit an. Das hat bei
mir bisher immer ohne eine Modifikation der
Standardeinstellungen geklappt.
Jetzt kommt der zweite Teil der „Irreführung“:
Gib in Error „500.html“ Datei den Standardtext aus der
Error „404.html“ Datei. Das wird der Angreifer nicht
erwarten und glaubt an einen 404 statt 500 Fehler.
Da deine Standardseiten keinen echten Fehlertext
liefert, kannst Du damit den Angreifer zumindest im
Ansatz irreführen.
hoffe Dir erst einmal weiter helfen zu können
Mit freundlichen Grüssen
Christian Bartsch
MCT, MCSE+I
(Certified for IIS
Hallo und vielen Dank für die Info.
Das wird leider nicht funktionieren. Der Hacker wird für eine Brute-Force-Attacke die Informationen aus dem Header der Antwort verwenden, egal, was dann im kommenden Text der „Fehlerdatei“ drin steht. Ich denke, diese Einstellung wird schwierig sein.
Ich wünsche noch einen schönen Tag.
Sven
Hallo,
da muss ich leider passen, das Einzige wonach ich schauen würde: Man kann alle Fehlercodes des Webservers überschreiben, da kann man bestimmt auch etwas tricksen, ob aber ein Skript darauf reinfällt? Fehler 500 bleibt wohl, nur die entsprechende Fehler-Site (für User)kann andere Meldungen bekommen.
VG Tanja