我如何让 UrlScan 测试无扩展名的 URL?

我如何让 UrlScan 测试无扩展名的 URL?

如果我使用 UrlScan 来阻止针对 asp 和 aspx 文件的常见 SQL 注入尝试,我会执行以下操作:

[SQLInjection] 
AppliesTo=.asp,.aspx
DenyDataSection=SQLInjectionStrings 
ScanURL=0 
ScanAllRaw=0 
ScanQueryString=1 
ScanHeaders=
[SQLInjectionStrings] 
-- 
alter 
delete 
(...)

那会

/default.asp?EVILACTION=DELETEDROPSLASHANDBURN
/default.aspx?EVILACTION=DELETEDROPSLASHANDBURN

但不是

/?EVILACTION=DELETEDROPSLASHANDBURN 

我怎样才能使 Urlscan 部分也适用于无扩展名的 URL?

我试过,留空等等 - 没有运气。

答案1

不要将其留空,只需AppliesTo完全省略该标志即可。如果您根本没有它,它应该适用于所有请求。如果您指定它,但将值留空,它将不适用于任何请求。

相关内容