如果我使用 UrlScan 来阻止针对 asp 和 aspx 文件的常见 SQL 注入尝试,我会执行以下操作:
[SQLInjection]
AppliesTo=.asp,.aspx
DenyDataSection=SQLInjectionStrings
ScanURL=0
ScanAllRaw=0
ScanQueryString=1
ScanHeaders=
[SQLInjectionStrings]
--
alter
delete
(...)
那会
/default.asp?EVILACTION=DELETEDROPSLASHANDBURN
/default.aspx?EVILACTION=DELETEDROPSLASHANDBURN
但不是
/?EVILACTION=DELETEDROPSLASHANDBURN
我怎样才能使 Urlscan 部分也适用于无扩展名的 URL?
我试过。,留空等等 - 没有运气。
答案1
不要将其留空,只需AppliesTo
完全省略该标志即可。如果您根本没有它,它应该适用于所有请求。如果您指定它,但将值留空,它将不适用于任何请求。