1

所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个 IIS6/Win2k3 盒子。它最终成为 URLScan。我不得不在 urlscan.ini 中取消设置两件事:

1) 将 VerifyNormalization 设置为 0(禁用)
2) 从“DenyUrlSequences”部分删除百分号

做一个iisreset,问题就解决了。但最大的问题是:这有多大的安全风险?

4

2 回答 2

0

百分号用于 URL 编码,可用于表示讨厌的字符,例如引号。此拒绝可能是由于 NormalizeUrlBeforeScan 处于打开或关闭状态,我会尝试翻转此设置。

UrlScan 不是一个很好的 WAF,您可能会遇到其他误报/误报的问题。Mod_Security 更成熟,可以与 IIS 一起使用,但是它涉及运行反向代理,老实说有点混乱,但恕我直言,它比 UrlScan 更混乱。

如果你有一些闲置的金砖,你应该选择Cisco ACE,它是一个很好的 WAF。

于 2010-05-13T18:07:02.433 回答
0

小心处理未过滤的 URI 字符实体,因为 URI 字符串可用作代码注入的工具。

于 2010-05-15T17:09:32.983 回答