URLScan и знаки процента

Question

URLScan и знаки процента

Поэтому я столкнулся с глупой проблемой, из-за которой пользователи не могли загружать файлы, на которых был указан знак процента. Это коробка IIS6/Win2k3. Это оказалось URLScan. Мне пришлось отключить две вещи в urlscan.ini:

1) Установите VerifyNormalization в 0 (отключено)
2) Удалите знак процента из раздела "DenyUrlSequence"

Сделайте iisreset, и проблема решена. Но главный вопрос: насколько это опасно для безопасности?

1

security iis web-application-firewall urlscan

Источник

user340438 13 май '10 в 15:40

2 ответа

Другие вопросы по тегам security iis web-application-firewall urlscan

15 май '10 в 17:09 2010-05-15 17:09 · Answer 1 · 2010-05-15 17:09

Будьте осторожны с обработкой неотфильтрованных символьных объектов URI, так как строки URI могут использоваться в качестве средств для внедрения кода.

0

Источник

15 май '10 в 17:09

user183528 13 май '10 в 18:07 2010-05-13 18:07 · Answer 2 · 2010-05-13 18:07

Знаки процента используются в кодировке URL и могут использоваться для выражения неприятных символов, таких как кавычки. Это отклонение может быть связано с тем, что NormalizeUrlBeforeScan включен или выключен, я бы попытался изменить этот параметр.

UrlScan не очень хороший WAF, и, скорее всего, у вас возникнут проблемы с другими ложными срабатываниями / ложными отрицаниями. Mod_Security более зрелый и может использоваться с IIS, однако он включает в себя запуск обратного прокси-сервера, который, честно говоря, немного беспорядок, но ИМХО это лучше, чем UrlScan.

Если у вас есть запасные золотые кирпичи, вы должны приобрести Cisco ACE, это хороший WAF.