[英]How to Fix HTTP Request Smuggling on IIS
在我的 ASP.NET MVC 应用程序中,我想解决 HTTP 请求走私漏洞问题。
我认为如果我阻止具有“传输编码:分块”标头的请求就足够了。 在 IIS 管理菜单上,我为此添加了新的请求过滤规则。 然而,这似乎并没有解决。
我编写了很少的 .NET 代码来测试 IIS 在发送分块内容时是否生成 404 错误。 当我将传输编码标头 1 次添加到我的测试客户端代码中时,如下所示,我没有收到 404,我收到了 200。
httpRequest.Headers.Add("Transfer-Encoding", "chunked");
有趣的是,我将标题添加了 2 次(我的意思是复制它)作为
httpRequest.Headers.Add("Transfer-Encoding", "chunked");
httpRequest.Headers.Add("Transfer-Encoding", "chunked");
过滤规则适用,我按预期收到 404。
我该如何解决?
几个月后,微软添加了一个补丁,您可以在其中禁用使用注册表项的请求走私。
- 单击开始,单击运行,在打开框中键入
Regedit
,然后单击确定。- 找到并单击以下注册表子项:
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\HTTP\\Parameters
- 将
DWORD
类型值DisableRequestSmuggling
设置为以下之一:
- 设置为 0 以禁用过滤器
- 设置为 1 以启用过滤器
- 退出注册表编辑器。
- 重新启动计算机。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.