首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >URLScan和百分比征象

URLScan和百分比征象
EN

Stack Overflow用户
提问于 2010-05-13 15:40:42
回答 2查看 284关注 0票数 1

因此,我遇到了一个愚蠢的问题,用户无法下载文件,文件中有一个百分比的签名。这是一个is 6/Win2k3盒。最后是URLScan。我不得不在urlscan.ini中设置两件事:

1)将VerifyNormalization设置为0(禁用) 2)从"DenyUrlSequences“部分删除百分比符号

做个复位,问题就解决了。但最大的问题是:这有多大的安全风险?

EN

回答 2

Stack Overflow用户

发布于 2010-05-13 18:07:02

百分比符号用于URL编码,并可用于表示令人讨厌的字符,如Quote。这个拒绝可能是由于NormalizeUrlBeforeScan是开或关,我会尝试翻转这个设置。

UrlScan不是一个很好的WAF,很可能你会遇到其他错误阳性/假阴性的问题。Mod_Security更成熟,可以与IIS一起使用,但是它涉及到运行反向代理,老实说,这有点混乱,但IMHO比UrlScan更糟糕。

如果你有一些备用的金块,你应该拿起思科ACE,这是一个很好的WAF。

票数 0
EN

Stack Overflow用户

发布于 2010-05-15 17:09:32

小心处理未经过滤的URI字符实体,因为URI字符串可以用作代码注入的工具。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/2828134

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档