所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个 IIS6/Win2k3 盒子。它最终成为 URLScan。我不得不在 urlscan.ini 中取消设置两件事:
1) 将 VerifyNormalization 设置为 0(禁用)
2) 从“DenyUrlSequences”部分删除百分号
做一个iisreset,问题就解决了。但最大的问题是:这有多大的安全风险?
所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个 IIS6/Win2k3 盒子。它最终成为 URLScan。我不得不在 urlscan.ini 中取消设置两件事:
1) 将 VerifyNormalization 设置为 0(禁用)
2) 从“DenyUrlSequences”部分删除百分号
做一个iisreset,问题就解决了。但最大的问题是:这有多大的安全风险?
百分号用于 URL 编码,可用于表示讨厌的字符,例如引号。此拒绝可能是由于 NormalizeUrlBeforeScan 处于打开或关闭状态,我会尝试翻转此设置。
UrlScan 不是一个很好的 WAF,您可能会遇到其他误报/误报的问题。Mod_Security 更成熟,可以与 IIS 一起使用,但是它涉及运行反向代理,老实说有点混乱,但恕我直言,它比 UrlScan 更混乱。
如果你有一些闲置的金砖,你应该选择Cisco ACE,它是一个很好的 WAF。
小心处理未过滤的 URI 字符实体,因为 URI 字符串可用作代码注入的工具。