提问人:John-Rock Bilodeau 提问时间:5/11/2018 最后编辑:MichaelJohn-Rock Bilodeau 更新时间:5/31/2019 访问量:1473
IIS请求过滤能否用于阻止提交表单数据时的注入攻击
Can IIS Request Filtering be used to block Injection attacks on submission of Form Data
问:
我想知道是否可以使用 IIS 请求过滤来阻止对 ASP.Net 登录表单的 SQL 注入攻击?
基本上,我们有一个遗留的 ASP.Net 应用程序,我们没有所有的源代码,并且通过渗透测试检测到它容易受到注入攻击。
我已经制定了以下请求过滤规则来阻止来自查询字符串的注入攻击,但我仍在尝试弄清楚如何从登录页面上的文本字段阻止这种类型的攻击。
<requestFiltering>
<filteringRules>
<filteringRule name="SQLInjectionQuery" scanUrl="false" scanQueryString="true">
<appliesTo>
<clear />
<add fileExtension=".aspx" />
</appliesTo>
<denyStrings>
<clear />
<add string="--" />
<add string=";" />
<add string="/*" />
<add string="@" />
<add string="char" />
<add string="alter" />
<add string="begin" />
<add string="cast" />
<add string="create" />
<add string="cursor" />
<add string="declare" />
<add string="delete" />
<add string="drop" />
<add string="end" />
<add string="exec" />
<add string="fetch" />
<add string="insert" />
<add string="kill" />
<add string="open" />
<add string="select" />
<add string="sys" />
<add string="table" />
<add string="update" />
<add string="waitfor" />
<add string="delay" />
</denyStrings>
<scanHeaders>
<clear />
</scanHeaders>
</filteringRule>
</filteringRules>
</requestFiltering>
我尝试添加到元素中,但它没有给出预期的结果。我仍然能够运行攻击来检测漏洞。scanAllRaw="true"filteringRuleusername' WAITFOR DELAY '0:0:10'--
我知道解决这个问题的最好方法是通过代码,但大部分坏代码都被打包到我们没有源代码的 dll 中,所以目前我正在尝试寻找另一种方法来解决这个问题。
任何建议都值得赞赏
答: 暂无答案
评论