1
所以我只是遇到了一个愚蠢的问题,用户无法下载具有百分号的文件。这是一个IIS6/Win2k3盒子。它最终成为URLScan。我不得不取消设置两件事情在URLScan.ini中:URLScan和百分号
1)设置VerifyNormalization为0(禁用)
2)从 “DenyUrlSequences” 删除百分号部分
做一个iisreset,并解决问题。但是最大的问题是:这有多大的安全风险?
A
回答
0
百分号用于URL编码,可用于表示令人讨厌的字符,如引号标记。这种拒绝可能是由于NormalizeUrlBeforeScan处于打开或关闭状态,我会尝试翻转此设置。
UrlScan不是一个很好的WAF,它可能会遇到其他误报/漏报的问题。 Mod_Security更成熟,可以与IIS一起使用,但它涉及运行反向代理,说实话有点乱,但恕我直言,它比UrlScan更好。
如果你有一些备用金砖,你应该拿起Cisco ACE,这是一个很好的WAF。
0
请注意处理未过滤的URI字符实体,因为URI字符串可用作代码注入的工具。
相关问题
- 1. 使用百分号“%”
- 2. 百分号未分型
- 3. 制作和百分号登录路径
- 4. Pandas Iterrows行号和百分比
- 5. 批次变量名和百分号
- 6. URLSCAN问题
- 7. Javascript stringify'%%'失去百分号
- 8. 百分号内PHP变量
- 9. 百分号%未在crontab中
- 10. python re.compile匹配百分号%
- 11. 函数内部百分号
- 12. Yii2迁移。表名中的百分号和括号
- 13. excel格式:显示无百分号的百分比值
- 14. 批处理 - 如何正确分配可能包含引号的任意百分号(%1)或百分号(%*)参数?
- 15. URLScan - 过滤表单数据
- 16. 将百分号添加到进度条
- 17. PHP在Windows escapeshellarg为百分号
- 18. 百分号(%)在Python字符串没有%%
- 19. MySQL/PHP like百分号不起作用
- 20. 百分号不生成文件
- 21. Android:WebView无法显示'%'百分号
- 22. Eclipse Autocomplete(Juno中的百分号)
- 23. 用百分号输入掩码
- 24. 当通过CALL时百分号消失
- 25. 地图编号,以他们的百分
- 26. django原始查询百分号问题
- 27. INFORMATION_SCHEMA.PROCESSLIST HOST列中百分号的含义
- 28. ECharts显示百分号的所有值
- 29. 逃离百分号准备声明
- 30. PHP字符串中的百分号