allowdoubleescaping = vere implicazioni sulla sicurezza

1

IIS non consente la doppia scansione per impostazione predefinita, che è una buona pratica.

  1. Quali sono le reali implicazioni se abilitato?
  2. Come fa / fa uno scenario di attacco valido in questo caso - quello usa il doppio escape?
  3. E di cosa dovrebbe occuparsi la mia applicazione se consentito?

Un esempio potrebbe essere il routing dall'URL e il riutilizzo della stringa e la stringa potrebbe contenere un + come carattere valido e quindi fallirebbe il test di doppia codifica se usato all'interno del percorso.

Grazie mille!

    
posta dalini 10.10.2016 - 15:04
fonte

0 risposte

Leggi altre domande sui tag