当前位置：文江博客话题详情

IIS .NET asp.net httpmodule httpwebrequest

在Application_BeginRequest之前验证请求？

发布于 2024-12-24 21:09:16 字数 957 浏览 1 评论 0原文

我尝试在应用程序开始读取请求的输入之前执行额外的验证，以根据标头和表单数据或类似的内容结束可疑的请求。

有可能吗？

[更新]

我的重点是防止在 BeginRequest 之前发生的零日漏洞，并且 ASP .net 验证无法捕获。

如果我可以控制 HttpWebRequest 对象的创建，我就可以检测到这种攻击。

[解决方案]

可以使用原生模块来解决。

有关创建本机模块的信息可以在此处找到（使用 C++）： http://learn.iis。 net/page.aspx/169/develop-a-native-cc-module-for-iis/

我正在谈论的零日漏洞在这篇博客文章中进行了描述： http://blogs.technet.com/b/srd/archive/2011/12/27/more-information-about-the-december-2011-asp-net-vulnerability.aspx

我对其进行了修复（是预发行版，不适合生产），可以在 GitHub 上找到：https://github.com/ginx/HashCollisionDetector

感谢您的所有帮助。

收藏 0

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

评论（3）

顾忌 2024-12-31 21:09:16

BeginRequest 是 IIS 请求处理管道中的第一个事件。

在该事件之前发生的唯一预请求操作是创建 HttpContext、HttpRequest 和 HttpResponse 类的实例。

某些注册的 HttpModules（包括 Global.asax）中的 BeginRequest 事件也会先于其他事件运行。但是，ASP.NET 不保证排序。

回复收藏 0 原文

意中人 2024-12-31 21:09:16

您可以通过设置页面 validateRequest="true" 在您的 web.config 中。

否则，您可以尝试替换 IIS 管道中的一些标准模块（除非您有大量时间，否则不建议这样做）。

以下是一些非常好的资源：

IIS 7.0 的 ASP.NET 应用程序生命周期概述

IIS 7 模块概述

自定义 IIS 7.0 角色和模块

回复收藏 0 原文

念﹏祤嫣 2024-12-31 21:09:16

可以使用本机模块来解决。

本机模块在任何 ASP .net 验证之前执行。

有关创建本机模块的信息可以在此处找到（使用 C++）：http://learn.iis.net/page.aspx/169/develop-a-native-cc-module-for-iis/

回复收藏 0 原文

~没有更多了~

关于作者

暂无简介

文章

评论

25 人气

关注发私信

相关话题

热门标签

操作系统程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端

推荐作者

燃烧我的卡路李先生

文章 0 评论 0

qq_2gSKZM

文章 0 评论 0

∞梦里开花

文章 0 评论 0

qq_IklFPL

文章 0 评论 0

迷途知返

文章 0 评论 0

深海不蓝

文章 0 评论 0

友情链接

我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的隐私政策了解更多相关信息。单击 接受 或继续使用网站，即表示您同意使用 Cookies 和您的相关数据。

原文