- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
以下是我们网站上遇到的问题:
使用 Windows 文件系统简写字符和状态返回代码进行文件/目录名称暴力破解
It is possible to find an unknown filename up to six characters by using shorthand file characters such as ~1 and
*Example: site.com/admin/uplo*~1*/.aspx
This attack relies on reading different error codes the webserver responds with when the file(s) exist or not. Let’s say the file upload.aspx exists in the directory admin. Our attacks responses would look like this:
site.com/admin/uplo*~1*/.aspx – IIS returns HTTP 404 File Not Found (valid file)
site.com/admin/uplp*~1*/.aspx – IIS returns HTTP 400 Bad Request (invalid file)
*Note that IIS 7.x responds with different error codes (0×0 when valid) instead of http status codes
更多详情 http://www.alertlogic.com/internet-information-server-iis-exploitation-2/
可能的解决方案之一:... 如果可能,您可能需要考虑使用 URL 重写来不允许接受任何带有波浪号字符的 URL...
问题:怎么做? url重写规则中应该使用什么正则表达式才能丢弃网站上所有URL中的~字符(ASP.NET 3.5)
最佳答案
可以通过执行以下任一操作来修复此问题:
1. Install .NET 4.0 on the web server.
或者
2. Install and configure IIS URLScan module (do not allow ~ chars in the URL by adding ~ to [DenyUrlSequences] section).
在此处查找更多有用信息: http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
关于asp.net - IIS波浪号漏洞问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11948857/
我目前正在开发一个具有模块化设计的网站,其中包含文本模块、图像模块、2 列模块......用户可以根据需要添加/删除/重新排序它们。 每个模块都有一个波浪形/flex 的边框: 有没有可能用css做这
我正在尝试在网站上创建波浪效果 like this其中有一个主色波(深紫色),然后是沿边缘的浅色波。我已尝试使用 CSS position 和 top 定位多个路径,但无法使它们工作。 这是我的基本波
如何在透明图像背景上构建波浪? 布局图像: 我需要白色顶部背景中的波浪。 最佳答案 我稍微改进了 akshay 的回答版本。这包括两个单独的选项。 选项 1 如果不需要保留宽高比,则曲线将随宽度变化。
我是一名优秀的程序员,十分优秀!