双重编码在 IIS6 上是否仍然是一个安全漏洞,就像在 IIS4/5 中一样?
答案1
答案是肯定的,也是否定的。严格来说,在 MS-API 级别,这个问题已经得到纠正。当然,如果您的应用程序处理编码并请求可能不取决于提供的 URI 的路径 - 您就容易受到攻击,并且您需要在完成任何适用的编码后提供过滤。
答案2
双重编码是什么意思?如果你谈论的是 IIS Unicode 漏洞(解释于http://www.hackingspirits.com/eth-hac/papers/iis_uni.html),这个问题很多年前就解决了。IIS 6.0 不容易受到此攻击。
答案3
如果你正在谈论这种 Web 应用程序攻击,那么这通常是由于 Web 应用程序代码中的问题而不是 Web 服务器行为造成的。此特定问题存在于任何 Web 服务器上。