Windows

IIS6 雙重編碼:仍然是一個安全漏洞?

  • January 23, 2012

雙重編碼是否仍然是 IIS6 上的安全漏洞,就像在 IIS4/5 中一樣?

答案是肯定的和否定的,嚴格來說,在 MS-API 層面,這個問題已經得到糾正。當然,如果您的應用程序處理編碼並請求可能不取決於提供的 URI 的路徑 - 您很容易受到攻擊,並且您將希望在任何適用的編碼完成後提供過濾。

雙編碼是什麼意思?如果您談論 IIS Unicode 漏洞(在http://www.hackingspirits.com/eth-hac/papers/iis_uni.html中進行了解釋),它在很多年前就已經解決了。IIS 6.0 不易受到這種攻擊。

引用自:https://serverfault.com/questions/90112

相關問答

Windows

如何在 Windows 中保護證書私鑰?

  • July 28, 2020
檢視問答
Windows

如何安全地允許 IIS 執行具有潛在漏洞的 exe?

  • November 14, 2017
檢視問答
Windows

設置 IIS 8.5 - 安全實踐

  • July 9, 2016
檢視問答
Windows

IIS 7.5 及更高版本 - 在更新檔 KB2992611 之後啟用 schannel 密碼 DHE_RSA_AES_128_GCM - 這安全嗎?

  • April 21, 2015
檢視問答
Windows

IIS 中的 IUSR 和 IWAM 帳戶是什麼?

  • May 23, 2012
檢視問答
Windows

提取iis保存的密碼

  • March 3, 2012
檢視問答