我发现在我们的网络中,安全人员阻止了包含&lt ;,>,“,”及其编码等效字符的GET请求。这些是许多Web应用程序正常运行所需的字符,即使在建立新的应用程序,我们必须考虑这个限制性规则。我们必须做不同的黑客攻击,以开箱即用甚至新的应用程序工作。当我讨论这件事时,事实证明,他们有很多旧的应用程序手头有可以被这些字符触发的漏洞(SQL注入,......),他们没有权限解决这些问题,所以他们决定一起阻止这些请求。但我觉得很难相信如果没有其他办法解决这个问题。
我想知道其他企业如何在不设置这样的限制或准确的情况下实现同样的目标: 我们如何在不改变源代码的情况下保护这些旧的Web应用程序,并以经济有效的方式阻止所有请求,即使对于没有这些漏洞的新应用程序也是如此?
答案 0 :(得分:0)
您的网络安全团队所采用的方法并非完全荒谬,但它的应用范围过于广泛。
例如,IIS 7(及更高版本)可以使用URL Rewrite extension将特定请求阻止规则应用于特定网站(甚至特定网域); 不需要将此类规则应用于所有网络流量。 IIS 6可以使用第三方程序(例如ISAPI Rewrite)来达到类似的效果。
更明智的做法是在承载易受攻击的旧版Web应用程序的所有网站上设置限制性请求规则,同时允许现代Web应用程序正常接收未阻止的请求。