【问题标题】:URLScan and percent signsURLScan 和百分号
【发布时间】:2011-02-19 03:58:11
【问题描述】:
所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个 IIS6/Win2k3 盒子。它最终成为 URLScan。我不得不在 urlscan.ini 中取消设置两件事:
1) 将 VerifyNormalization 设置为 0(禁用)
2)从“DenyUrlSequences”部分删除百分号
执行 iisreset,问题就解决了。但最大的问题是:这有多大的安全风险?
【问题讨论】:
标签:
security
iis
urlscan
web-application-firewall
【解决方案1】:
百分号用于 URL 编码,可用于表示讨厌的字符,例如引号。此拒绝可能是由于 NormalizeUrlBeforeScan 处于打开或关闭状态,我会尝试翻转此设置。
UrlScan 不是一个很好的 WAF,您可能会遇到其他误报/误报的问题。 Mod_Security 更成熟,可以与 IIS 一起使用,但它涉及运行反向代理,老实说有点混乱,但恕我直言,它比 UrlScan 更混乱。
如果你有多余的金砖你应该去Cisco ACE,这是一个很好的WAF。
【解决方案2】:
小心处理未过滤的 URI 字符实体,因为 URI 字符串可用作代码注入的工具。