Gerenciar corretamente a solicitação do IIS com o sinal de porcentagem no URL (/%)

Navegue suas respostas
14

Estou procurando qualquer tipo de solução para obter uma solicitação do IIS, como o link e link para não exibir uma página de 400 solicitações incorretas, mas exibir uma página de erro personalizada semelhante à ligação e link (obviamente, esses exemplos não estão no IIS).

Acredito que tentei definir todas as configurações de registro do http.sys aplicáveis (AllowRestrictedChars, PercentUAllowed) por link , mas isso não ajudou. A definição de AllowRestrictedChars e uma página personalizada de 400 têm URLs fixos, como o link , mas não o /%.

    
por bkaid 09.04.2011 / 12:36

4 respostas

19

Isso está bloqueado no nível do kernel do IIS. Como teste, retirei o módulo every no IIS para que ele nem sequer tivesse um manipulador de páginas estático e ainda exibisse a mensagem de erro 400.

Eu não acredito que seja possível com o IIS contornar isso. As configurações do registro que você mencionou são para outros tipos de caracteres restritos. Eu não vi uma alavanca para mudar essa funcionalidade.

Qual é o seu objetivo, evitar isso? Ele abre sua superfície de ataque mais amplamente, e não consigo imaginar um visitante legítimo sendo perdido como resultado do bloqueio de sequências incompletas de escape de URL.

Update2: Aqui estão três ótimos links sobre isso. Tanto Nazim Lala quanto Wade Hilmo, da equipe do IIS, escreveram sobre isso por causa da discussão em torno de sua pergunta. Também Scott Hanselman tem um ótimo post sobre a parte de querystring dentro do .NET:

Atualização: Eu verifiquei com um membro da equipe do IIS para obter uma resposta autoritária. Ele mencionou que o% é considerado um caractere inseguro de acordo com a RFC 1738 ( link ).

Este é o texto relevante:

Unsafe:

Characters can be unsafe for a number of reasons. The space character is unsafe because significant spaces may disappear and insignificant spaces may be introduced when URLs are transcribed or typeset or subjected to the treatment of word-processing programs. The characters "<" and ">" are unsafe because they are used as the delimiters around URLs in free text; the quote mark (""") is used to delimit URLs in some systems. The character "#" is unsafe and should always be encoded because it is used in World Wide Web and in other systems to delimit a URL from a fragment/anchor identifier that might follow it. The character "%" is unsafe because it is used for encodings of other characters. Other characters are unsafe because gateways and other transport agents are known to sometimes modify such characters. These characters are "{", "}", "|", "\", "^", "~", "[", "]", and "'".

All unsafe characters must always be encoded within a URL. For example, the character "#" must be encoded within URLs even in systems that do not normally deal with fragment or anchor identifiers, so that if the URL is copied into another system that does use them, it will not be necessary to change the URL encoding.

O IIS proativamente bloqueia isso no nível principal, uma medida de segurança proativa para minimizar a superfície de ataque.

    
por 12.04.2011 / 16:01
3

Eu posso pensar em 3 maneiras possíveis

  1. Altere o IIS para apontar para uma página personalizada para 400 erros do que normalmente

  2. Se isso é exclusivo de um site específico no IIS, você pode fazer algo parecido com isso no web.config:

    < customErrors defaultRedirect="ErrorPage.aspx" mode="Ativado" >
        < error statusCode="400" redirect="myCustom400Error.aspx" / >
    < / customErrors >

  3. Escreva um httpmodule que inspecione os URLs recebidos e os manipule

por 12.04.2011 / 14:43
3

A única maneira de contornar isso parece verificar a URL antes que o kernel do IIS possa.

Você precisa enviar seus links gerados dinamicamente por um script para verificá-los antes de encaminhar seu usuário final para esse URL ...

Exceto isso, você sabe que esta é a única situação em que o IIS não vai lidar da maneira que você quiser. Assim, pelo processo de eliminação, se você tiver uma solicitação não tratada, saberá o que a causou.

Talvez a verificação do referenciador em uma página personalizada de 400 ajudasse a restringir a origem do tráfego?

    
por 15.04.2011 / 08:28
2

Esta postagem no fórum do IIS indica que o HTTP 400 (Solicitação incorreta) está bloqueado por http.sys e não chegar ao IIS que corresponde aos links que @Scott Forsyth - MVP incluiu em sua resposta original.

Você pode ver um log dessas solicitações em c: \ Windows \ System32 \ LogFiles \ HTTPERR \

Não sei se você pode configurar a página de resposta que é enviada de volta ao usuário para esse tipo de erro, mas como até o Bing sofre com esse problema, suspeito que isso não seja possível ou exija alguns hacks horríveis do sistema. / p>     

por 24.04.2012 / 16:34

Tags

Erro do IIS 404 onde existe um arquivo Sistema de degradação - o Windows diminui com o tempo?