所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个IIS6 / Win2k3盒子。最终成为了URLScan。我不得不在urlscan.ini中取消设置两件事:
1)将VerifyNormalization设置为0(禁用)
2)从“DenyUrlSequences”部分删除百分号
做一个iisreset,问题解决了。但最大的问题是:这有多大的安全风险?
答案 0 :(得分:0)
百分号用于URL编码,可用于表示令人讨厌的字符,例如引用标记。这种拒绝可能是由于NormalizeUrlBeforeScan打开或关闭,我会尝试翻转此设置。
UrlScan不是一个非常好的WAF,它可能会遇到其他误报/漏报的问题。 Mod_Security更加成熟,可以与IIS一起使用,但它涉及运行反向代理,说实话有点乱,但恕我直言,它比UrlScan更好。
如果你有一些备用的金砖,你应该选择Cisco ACE,这是一个很好的WAF。
答案 1 :(得分:0)
小心处理未过滤的URI字符实体,因为URI字符串可以用作代码注入的载体。