Windows

IIS6 雙重編碼:仍然是一個安全漏洞?

  • January 23, 2012

雙重編碼是否仍然是 IIS6 上的安全漏洞,就像在 IIS4/5 中一樣?

答案是肯定的和否定的,嚴格來說,在 MS-API 層面,這個問題已經得到糾正。當然,如果您的應用程序處理編碼並請求可能不取決於提供的 URI 的路徑 - 您很容易受到攻擊,並且您將希望在任何適用的編碼完成後提供過濾。

雙編碼是什麼意思?如果您談論 IIS Unicode 漏洞(在http://www.hackingspirits.com/eth-hac/papers/iis_uni.html中進行了解釋),它在很多年前就已經解決了。IIS 6.0 不易受到這種攻擊。

引用自:https://serverfault.com/questions/90112