Partager via

Messages d’erreur de script ASP classiques non affichés dans le navigateur web par défaut

par Robert McMurray

Dans les versions antérieures d’IIS, les messages d’erreur des scripts ASP classiques ont été envoyés à un navigateur web, par défaut. Étant donné que ces messages d’erreur peuvent révéler des informations sensibles aux utilisateurs malveillants, IIS 7 et versions ultérieures désactive cette fonctionnalité par défaut. Lorsque vos scripts ASP classiques rencontrent une erreur dans IIS, vous recevez le message d’erreur suivant par défaut :

An error occurred on the server when processing the URL. Please contact the system administrator.

If you are the system administrator please click here to find out more about this error.

Vous pouvez personnaliser le message d’erreur de script ASP et déterminer s’il faut retourner les erreurs de script dans un navigateur web.

Remarque

Comme meilleure pratique pour la sécurité, vous devez uniquement activer l’envoi de messages d’erreur de script ASP à un navigateur Web sur un ordinateur de développement ou de test ; le renvoi de messages d’erreur de script à un navigateur Web peut exposer involontairement plus d’informations que vous ne l’avez prévu.

Utiliser le contrôle d’accès utilisateur

Vous devez vous assurer de suivre les étapes décrites dans ce document en utilisant un compte doté d’autorisations d’administration complètes. Pour cela, utilisez l’une des deux méthodes suivantes :

  • Connectez-vous à votre ordinateur à l’aide du compte administrateur local.
  • Si vous êtes connecté à l’aide d’un compte avec des autorisations d’administration, mais ne correspond pas au compte administrateur local, ouvrez toutes les applications et toutes les sessions d’invite de commandes à l’aide de l’option « Exécuter en tant qu’administrateur ».

Les conditions ci-dessus sont obligatoires, car le composant de sécurité Contrôle de compte d’utilisateur (UAC) inclus dans Windows Vista et Windows Server 2008 empêche l’accès administratif aux paramètres de configuration IIS. Pour plus d’informations sur le contrôle de compte d’utilisateur, consultez la documentation suivante :

Personnalisation des messages d’erreur ASP classiques

Les paramètres de configuration que vous utilisez pour personnaliser ces paramètres se trouvent dans la liste suivante :

  • scriptErrorMessage: il s’agit d’un attribut de chaîne facultatif qui spécifie le message d’erreur qui sera envoyé au navigateur lorsque des erreurs de débogage spécifiques ne sont pas envoyées au client.
  • scriptErrorSentToBrowser: il s’agit d’un attribut booléen facultatif qui spécifie si l’écriture de spécificités de débogage dans le navigateur client est activée.

Vous pouvez configurer ces paramètres à l’aide du Gestionnaire IIS. Pour ce faire, ouvrez le Gestionnaire IIS et accédez au site ou à l’application où vous souhaitez activer ou désactiver les messages de script, puis double-cliquez sur la fonctionnalité ASP.

Screenshot of the I I S Manager Default Web Site Home page. The A S P icon is highlighted.

Dans la liste des fonctionnalités ASP, configurez les options message d’erreur de script et envoyer des erreurs au navigateur.

Screenshot of the A S P features page. The Send Errors to Browser option is highlighted.

Vous pouvez également configurer ces paramètres à l’aide de l’outil en ligne de commande AppCmd.exe avec la syntaxe suivante :

appcmd.exe set config "Default Web Site" -section:system.webServer/asp /scriptErrorMessage:"An error occurred."
appcmd.exe set config "Default Web Site" -section:system.webServer/asp /scriptErrorSentToBrowser:"False"

Informations supplémentaires

Pour plus d’informations sur les options disponibles pour le débogage ASP classique, consultez la page suivante dans la référence de configuration IIS sur le site Web Microsoft IIS.net :

https://www.iis.net/ConfigReference/system.webServer/asp

En guise d’alternative au retour des messages d’erreur de script ASP dans un navigateur Web, vous pouvez activer échec du suivi des demandes sur votre serveur. Par exemple, vous pouvez ajouter une règle pour suivre automatiquement les erreurs HTTP 500, que le moteur ASP génère lorsqu’une erreur se produit. En analysant la sortie dans les journaux de suivi des demandes ayant échoué sur votre serveur, vous pouvez identifier la source des erreurs ASP classiques. En guise de note de sécurité supplémentaire, les journaux de suivi des demandes ayant échoué ne sont pas disponibles pour les navigateurs web, les informations de résolution des problèmes sont disponibles uniquement sur votre serveur. Si vous utilisez le suivi des demandes ayant échoué, il vous permet également de résoudre les erreurs ASP classiques non supervisées en détail sans avoir à reproduire les erreurs.