Quali sono le conseguenze dell'attivazione di Apache AllowEncodedSlashes? Voglio accenderlo e voglio sapere se questo è peggiore di altri tipi di attacchi di iniezione che possono verificarsi nelle app Web?
Il tuo server web non dovrebbe essere responsabile della corretta codifica dell'input fornito dall'utente. Se ciò comportasse la tua vulnerabilità all'iniezione, significa che l'applicazione non disinfetta correttamente l'input dell'utente.
È sempre stato considerato un problema di sicurezza perché l'applicazione in esecuzione sul server Web non eseguiva sempre l'escape dell'input correttamente, con il risultato di attraversamenti di percorso. Ma la responsabilità del problema risiede in ultima analisi nell'applicazione web, non nel server web. Quindi se l'applicazione esegue correttamente l'escape di questi valori, dovresti stare bene.
Leggi altre domande sui tag apache