[英]URL rewrite to remove tildes
在我公司的年度安全性/滲透性測試期間,出現以下問題,涉及aspx頁面的波浪號和簡稱文件:
這是關於該主題的白皮書。 它看起來像是一個相對較新發現的漏洞(該論文是2012年6月發布的),在該漏洞中,在url的正確位置插入波浪號可讓您查找aspx文件的簡稱。 我正在尋找一種方法來刪除對我們網站提出的Web請求中的所有波浪號,以防止出現這種情況。
白皮書建議升級到IIS 7,但這是一個重大項目,無法很快完成。 我們正在使用C#.NET 4.0 / IIS 6.在這里有經驗的人可以為我指明正確的方向嗎?
您可以將以下代碼添加到global.asax:
Protected Sub Application_BeginRequest(ByVal sender As Object, ByVal e As System.EventArgs)
If HttpContext.Current.Request.RawUrl.Contains("~") Then
'do whatever - eg: stip the ~ or redirect to error page
End If
End Sub
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.