如果我使用UrlScan来阻止对asp和aspx文件的常见SQL注入尝试,我会这样做:
[SQLInjection] AppliesTo=.asp,.aspx DenyDataSection=SQLInjectionStrings ScanURL=0 ScanAllRaw=0 ScanQueryString=1 ScanHeaders= [SQLInjectionStrings] -- alter delete (...)
这会赶上
/default.asp?EVILACTION=DELETEDROPSLASHANDBURN /default.aspx?EVILACTION=DELETEDROPSLASHANDBURN
但不是
/?EVILACTION=DELETEDROPSLASHANDBURN
我怎样才能使Urlscan部分也适用于不扩展的url?
我试了。 ,让它空白等 – 没有运气。
不要将其留空,只需完全省略AppliesTo
标志即可。 如果你没有,它应该适用于所有的请求。 如果指定它,但将值留空,则不适用于任何请求。