URLScan和百分号

时间:2010-05-13 15:40:42

标签: security iis urlscan web-application-firewall

所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个IIS6 / Win2k3盒子。最终成为了URLScan。我不得不在urlscan.ini中取消设置两件事:

  

1)将VerifyNormalization设置为0(禁用)
  2)从“DenyUrlSequences”部分删除百分号

做一个iisreset,问题解决了。但最大的问题是:这有多大的安全风险?

2 个答案:

答案 0 :(得分:0)

百分号用于URL编码,可用于表示令人讨厌的字符,例如引用标记。这种拒绝可能是由于NormalizeUrlBeforeScan打开或关闭,我会尝试翻转此设置。

UrlScan不是一个非常好的WAF,它可能会遇到其他误报/漏报的问题。 Mod_Security更加成熟,可以与IIS一起使用,但它涉及运行反向代理,说实话有点乱,但恕我直言,它比UrlScan更好。

如果你有一些备用的金砖,你应该选择Cisco ACE,这是一个很好的WAF。

答案 1 :(得分:0)

小心处理未过滤的URI字符实体,因为URI字符串可以用作代码注入的载体。