Iis-6
根據 URL 參數拒絕 IIS6 Web 請求?
我有一個在 IIS6 下執行第三方電子商務系統的舊版應用程序。一些垃圾郵件發送者最近在商店的一個表單中發現了一個嚴重的安全漏洞,這使得他們可以從我們的系統發送任意電子郵件。不幸的是,這個商店“功能”內置在 default.aspx 頁面的程式碼隱藏中,如果不關閉商店,我無法禁用它。
如何使用給定的查詢字元串參數過濾掉 URL 請求?即,我想過濾出以下請求:
http://www.mysite.com/store/?id=SendSpam
基於“SendSpam”字元串。
第一個解決方案:使用一個 isapi 過濾器來模擬 Apache 的 ModRewrite for IIS。搜尋“mod_rewrite iis”。
另一種方法是在 .net 中編寫一個 httpmodule 來實現輸入過濾器,然後將其載入到 web.config 中的 .net 應用程序中。
請注意,這些都不允許您更改查詢字元串參數,但它們將允許您在應用程序被命中之前進行重定向或 403 Forbidden 響應。
或者有來自微軟的 urlscan,它應該能夠做上面描述的事情。