Security

IIS 將規則重寫為帶有撇號的黑洞 URL

  • April 21, 2020

我購買了一個不使用特殊字元的網路應用程序。在查看我的日誌時,我看到威脅參與者通過添加撇號和其他通常從不使用的 char() 字元來嘗試查看我的站點是否容易受到 SQL 注入的影響。我相信我的應用程序的安全性(大部分),但想看看重寫規則或其他方法是否會阻止他們的請求。我的網路應用程序給出了標準錯誤。我正在尋找規則或想法 1.) 在沒有 2.) 給伺服器增加大量成本的情況下,盡可能少地向攻擊者提供資訊。那裡有很多重寫規則範例,但我發現沒有一個可以處理這個角度。

探測的簡單範例:https://sub.domain.com/default.aspx?page=3500'A=0&Id=497066

像這樣的東西?它將清除一些更討厭的 SQL 字元。

 <system.webServer>
     <rules>
       <rule name="No SQL injection" stopProcessing="true">
         <match url=".*" />
         <conditions>
           <add input="{QUERY_STRING}" pattern="['\(\);]" />
         </conditions>
         <action type="AbortRequest" />
       </rule>
     </rules>
 </system.webServer>

如果任何字元'();出現在查詢字元串中,這將中止請求。

沒有 SQL 注入規則 在此處輸入圖像描述

引用自:https://serverfault.com/questions/1012883

相關問答

Security

對 Windows Server 2019 的 TLS 1.3 支持

  • September 28, 2021
檢視問答
Security

IIS 使用沒有 Host 標頭的 HTTP/1.0 請求洩漏內部 IP

  • September 27, 2021
檢視問答
Security

修復 IIS 波浪號漏洞

  • June 16, 2021
檢視問答
Ssl

IIS:可以通過 http 但不能通過 https 連接到網站

  • April 20, 2021
檢視問答
Security

隱式允許 IIS 中來自有效主機名的請求

  • April 12, 2021
檢視問答
Ssl

即使僅啟用匿名身份驗證,託管在 IIS 上的網站也會不斷要求身份驗證

  • February 12, 2021
檢視問答