URLScan 和百分号

Question

所以我遇到了一个愚蠢的问题，用户无法下载带有百分号的文件。这是一个IIS6/Win2k3盒子。它最终成为 URLScan。我必须在 urlscan.ini 中取消设置两件事：

1) 将VerifyNormalization 设置为0（禁用）
2) 删除“DenyUrlSequences”部分的百分号

执行 iisreset，问题解决。但最大的问题是：这有多大的安全风险？

Answer 1

百分号用于 URL 编码，可用于表达讨厌的字符，例如引号。这种拒绝可能是由于 NormalizeUrlBeforeScan 打开或关闭所致，我会尝试翻转此设置。

UrlScan 不是一个非常好的 WAF，您可能会遇到其他误报/误报问题。 Mod_Security 更成熟，可以与 IIS 一起使用，但它涉及运行反向代理，老实说这有点混乱，但恕我直言，它比 UrlScan 更混乱。

如果您有一些备用金砖，您应该拿起 Cisco ACE，是一个不错的WAF。

Answer 2

处理未过滤的 URI 字符实体时要小心，因为 URI 字符串可用作代码注入的工具。