个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
35
4
我正在让 IIS (Microsoft-IIS/7.5) 返回 403 forbidden,但我不知道为什么。我已经将它缩小到 %2F 但只有当它前面有一个字母时。知道是什么原因造成的吗?
这些工作...
但是如果您在 %2F 前面放置任何单个字母,它会失败并显示 403。
这些失败...
谢谢!
更新:我已经排除了 ColdFusion,因为它给出了相同的 403:http://example.com/mySite123/indexdotcfm?x=a%2F
更新:
Top Level IIs:
Checked:
Allow unlisted file name extensions
Allow unlisted verbs
Allow high-bit characters
Unchecked:
Allow double escaping
Request Limits:
Maximum allowed content length (Bytes): 30000000 Maximum URL length (Bytes):
4096 Maximum query string (Bytes): 2048
Sites
mySite123:
Checked:
Allow unlisted verbs
Allow high-bit characters
Unchecked:
Allow unlisted file name extensions
Allow double escaping
Request Limits:
Maximum allowed content length (Bytes): 2147483647
Maximum URL length (Bytes): 4096
Maximum query string (Bytes): 2048
Deny URL
/CFIDE/Administrator
/CFIDE/adminapi
更新:如果我更改我正在访问的目录,我可以将 403 更改为 404。示例:
这会按预期返回 404: http://www.example.com/anything.anything?anything=x%2Fanything
这将返回 403: http://www.example.com/mySite123/anything.anything?anything=x%2Fanything
那么可以安全地假设 403 问题与“mySite123”虚拟目录设置有关吗?
最佳答案
我很确定您收到的 403 Forbidden 响应是 IIS 的一项安全功能。这是一个已知的攻击媒介。字符序列 %2F 只是 /(正斜杠)字符的 URL 编码表示。显然,这对浏览器和互联网具有特殊意义。它用于目录遍历。在 URL 中编码特殊字符是一种绕过一些基本安全措施的黑客技巧。参见 Path Traversal来自 OWASP。来自Full text of "The Web Application Hacker Handbook" (大约该页面的一半):
Chapter 10 Attacking Back-End Components 575
HACK STEPS
Always try path traversal sequences using both forward slashes and back slashes. Many input filters check for only one of these, when the filesystem may support both.
Try simple URL-encoded representations of traversal sequences using the following encodings. Be sure to encode every single slash and dot within your input:
Dot — %2e
Forward slash — %2f
Backslash — %5cTry using 1 6-bit Unicode encoding:
Dot — %u002e
Forward slash — %u22l5
Backslash — %u22l6Try double URL encoding:
Dot-%252e
Forward slash — %252f
Backslash — %255cTry overlong UTF-8 Unicode encoding:
Dot — %c0%2e, %e0%40%ae, %c0ae, and so on
Forward slash — %cO%af , %e0%80%af , %c0%2f , and so on
Backslash — %c0%5c, %c0%80%5c, and so on...
(粗体是我的重点)
您可能会想出一种允许这样做的方法,但您为什么要这么做?我不推荐它。您想向潜在攻击开放您的服务器吗?我认为最好避免使用这个 URL 序列。 URL 查询字符串中真的需要正斜杠字符吗?与其寻找在查询字符串中允许此字符的方法,不如使用另一种不那么危险且不会暴露您的服务器的方法。对于那个特定的 URL 变量,您可以查找这个不同的字符并将其替换为您在服务器端需要的字符。像这样的东西:
代替
http://example.com/index.cfm?x=a%2Fblah
使用
http://example.com/index.cfm?x=a-blah
然后在服务器上,您知道 x 变量中的 -(破折号)字符,因此您将其替换为 /(服务器上的正斜杠)字符。或者需要任何字符。
在 ColdFusion 中
<cfset x = Replace(URL.x,"-","/","ALL") />
请务必使用该字符串中不存在的一些独特字符。 始终记得清理服务器上所有用户提供的输入。
以下是我发现的一些关于 URL 中易受攻击的 %2f 字符序列的引用资料:
Component titles containing '/' (forward slash) characters
IIS URL Decoding Vulnerability
Receive an HTTP 400 error if %2F is part of the GET URL in JBOSS
Generic Google search about the topic
请注意,上述部分引用资料与 IIS 以外的 Web 服务器相关,但它们表明存在漏洞。
您可以尝试的其他方法是对序列进行双重转义。因此,您使用的不是 %2f %252F(%25 是百分号)。但是您也需要在 IIS 中进行更改以支持此功能。引用 - if I name an image with a %2F, I cannot access it and when navigating to it, I get a 404 .我认为这是最后的手段。 Double Encoding
关于java - IIS 403 禁止在 URL 中使用 %2F,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27829537/
35
4
0
当我查看 IIS 日志文件时,我可以在一天中的不同时间看到标题行被写入日志文件。我唯一一次看到这种情况发生是在 IIS 重置时;或启动。 例如下面的标题行; #Software: Microsoft
有谁知道为什么以下 web.conig 更改不起作用: 在我添加 javascript 文件后仍然没有被压缩(gzip)。我折腾了几天,因为一开始我真的不知道问题是
目前,我们所有的网络应用程序都将其应用程序池标识设置为 ApplicationPoolIdentity。现在,当一个应用程序需要访问某些服务器上的某些资源时,比如添加/读取某些文件,该应用程序会在代码
在 IIS(特别是 6.0)中,在“主目录”选项卡下,如果我更改本地路径,是否会导致 IIS 重新启动或应用程序池回收? 相关的,是否有概述 IIS 元数据库的哪些更改将触发重新启动或应用程序池回收的
只要更改了任何 web.config 文件,AFAIK IIS 就会重新启动。 我创建了自己的配置文件(my.config,层次结构略有不同)。是否有可能让 IIS 自动(自动神奇地 :))重新启动,
你好, 我正在寻找 IIS 日志中列出的浏览器条目列表,以帮助识别访问我们网站的不同版本的浏览器。也许没有一个列表,而是一个应该用来识别不同浏览器及其版本的算法。 请注意,我不是在寻找日志分析器,而是
我想知道上次重新启动 iis 是什么时候。 IIS 是否保留了此日志,我在哪里可以找到此日志? 谢谢 最佳答案 打开事件查看器,导航到“Windows 日志”->“系统” 在右侧的“操作” Pane
在全新安装的带有 IIS 7 的 Windows Server 2008 R2 上,它会在 C:\inetpub\wwwroot 中创建一个默认网站。 .我确信对于存储网站文件的好位置有很多主观意见,
我已按照 this question 中的说明在 IIS 中实现动态内容压缩。 . 当我发送请求时,我看不到响应被 gzip 压缩的任何证据: IIS版本为7.5 有什么明显的我应该检查以解决此问题吗
这是场景: 服务器 A 托管“主”应用程序 (www.example.com) 服务器 B 托管支持应用程序 (b.example.com) 它们通过 192.* 地址在内部相互连接,并且都可以通过
是否有任何替代 IIS 管理 UI 可用于从程序重置 IIS?.. 现在我们已经创建了一个批处理文件,如果 iis 重置并每小时安排一次...... 我只是想要一些东西,这样我们就不能重置 iis..
我的 Windows Server 在 IIS 7.5 上运行 Web 应用程序。 我想知道为什么 IIS 应用程序池使用大量内存。 请参阅我从服务器捕获的屏幕截图。 在名为 TEST 2.0(.NE
我在 IIS 7.5 上运行的 ASP Classic 站点上收到服务器错误。 我将“向浏览器发送错误”设置为 True ,但是我仍然收到以下错误屏幕: 最佳答案 IIS 正在劫持您的经典 ASP 应
我正在尝试通过IIS上的反向代理连接到websockets服务器(websockify)。 IIS和Websockets服务器位于同一台物理服务器上(Windows Server 2012 R2,II
我需要让我的开发机器从本地机器商店读取证书 为此,我需要运行winhttpcertcfg.exe并指定我要提升的帐户 该帐户用于IIS表示什么? (对于IIS,它将是IWAM_MachineName)
我正在阅读特定命令(SET-WEBCONFIGURATIONPROPERTY),但出现"is not recognized as a cmdlet"错误。给我的建议是,即使我使用的是SharePoin
我已经为 IIS8 安装了静态和动态压缩并启用了它。 当我的CPU性能100%时,我的GZIP IIS不工作,为什么? 我可以清楚地看到 GZIP 没有在 Live HTTP header 中运行。我
我已经从官方镜像(https://hub.docker.com/r/microsoft/iis/)运行了IIS 在Windows Server 2016上 有什么方法可以从IIS管理器连接到该IIS,
你好, 如果 iis 未运行,我想编写一个状态为的代码。 最佳答案 从命令行启动 IIS: iisreset /start 从命令行停止 IIS: iisreset /stop 重新启动(停止和启动)
我已经为 IIS8 安装了静态和动态压缩并启用了它。 当我的CPU性能100%时,我的GZIP IIS不工作,为什么? 我可以清楚地看到 GZIP 没有在 Live HTTP header 中运行。我
我是一名优秀的程序员,十分优秀!