安全团队的 webinspect 扫描报告报告 URL 存在问题。它表示,当它在有效 URL 之后传递任何随机数时,该随机数将被替换为“form”标签中“action”属性的值。
例如:如果我请求 _http://myapplication /validpage.aspx/3242342
我得到了回复,但表单标签的 action 属性包含 3242342。我的安全团队认为这是一个漏洞。
我能知道为什么上面的 URL 没有抛出 404 吗?需要做些什么来处理这个问题?或者,如果它是 IIS 和 ASP.net 的默认行为,有人可以将我引导到某个这样说的站点。