Signes URLScan et pourcentages

Question

Je me suis donc heurté à un problème stupide dans lequel les utilisateurs ne pouvaient pas télécharger les fichiers comportant un signe de pourcentage. Ceci est une boîte IIS6/Win2k3. Il a fini par être URLScan. Je devais mettre un-deux choses urlscan.ini:

1) Set VerifyNormalization à 0 (désactivé)
2) Retirer le signe pour cent de la section "DenyUrlSequences"

faire une iisreset, et le problème résolu. Mais la grande question est: quel est le risque de sécurité?

Answer 1

Les signes de pourcentage sont utilisés dans le codage d'URL et peuvent être utilisés pour exprimer des caractères méchants tels que les guillemets. Ce rejet peut être dû à NormalizeUrlBeforeScan étant activé ou désactivé, je voudrais essayer de retourner ce paramètre.

UrlScan n'est pas un bon WAF et il est probable que vous rencontriez des problèmes avec d'autres faux positifs/faux négatifs. Mod_Security est plus mature et peut être utilisé avec IIS mais il implique l'exécution d'un proxy inverse qui, pour être honnête, est un peu de gâchis, mais à mon humble avis, c'est un meilleur bord que UrlScan.

Si vous avez quelques briques d'or de rechange, vous devriez prendre Cisco ACE, c'est un bon WAF.

Answer 2

Soyez prudent avec le traitement des entités de caractères URI non filtrées car les chaînes d'URI peuvent être utilisées comme véhicules pour l'injection de code.