双重编码仍然是IIS6中的安全漏洞,因为它在IIS4 / 5中?
答案是肯定和否,严格来说,在MS-API层面上,问题已经解决了。 当然,如果您的应用程序处理编码和请求path,而这些path可能并不依赖于所提供的URI,那么您很容易受到攻击,并且在完成任何适用的编码之后,您将要提供过滤function。
双编码是什么意思? 如果您谈论IIS Unicode漏洞(在http://www.hackingspirits.com/eth-hac/papers/iis_uni.html中解释),那么很多年前就已经解决了。 IIS 6.0不容易受到这种攻击。
如果您正在讨论这种Web应用程序攻击 ,那么这通常是由于Web应用程序代码中的问题而导致的,而不是Web服务器的行为。 这个特定的问题是任何和所有Web服务器上的问题。