URLScan和百分比征象

Question

因此，我遇到了一个愚蠢的问题，用户无法下载文件，文件中有一个百分比的签名。这是一个is 6/Win2k3盒。最后是URLScan。我不得不在urlscan.ini中设置两件事：

1)将VerifyNormalization设置为0(禁用) 2)从"DenyUrlSequences“部分删除百分比符号

做个复位，问题就解决了。但最大的问题是:这有多大的安全风险？

Answer 1

百分比符号用于URL编码，并可用于表示令人讨厌的字符，如Quote。这个拒绝可能是由于NormalizeUrlBeforeScan是开或关，我会尝试翻转这个设置。

UrlScan不是一个很好的WAF，很可能你会遇到其他错误阳性/假阴性的问题。Mod_Security更成熟，可以与IIS一起使用，但是它涉及到运行反向代理，老实说，这有点混乱，但IMHO比UrlScan更糟糕。

如果你有一些备用的金块，你应该拿起思科ACE，这是一个很好的WAF。

Answer 2

小心处理未经过滤的URI字符实体，因为URI字符串可以用作代码注入的工具。