Я обнаружил, что в нашей сети ребята из безопасности блокировали запросы GET, содержащие символы, такие как <,>, ", 'и их закодированные эквиваленты. Это характер, который требуется многим веб-приложениям для правильной работы и даже при создании новых приложений мы должны принять это ограничительное правило. Мы должны делать разные хаки, чтобы сделать из коробки или даже новые приложения. Когда я обсудил этот вопрос, оказалось, что у них много старых приложений, которые имеют уязвимости, которые могут быть вызваны этими символами (SQL Injection, ...), и у них нет доступа к людям для решения этих проблем, поэтому они решили заблокировать этот запрос все вместе. Тем не менее мне трудно поверить, если нет другого пути.Как защитить приложения, которые уязвимы для котировки без изменения кода?
Мне интересно, как другие предприятия ses достигают того же, не устанавливая такое ограничение на месте или если быть точным: Как мы можем защитить эти старые веб-приложения, не изменяя их исходный код и блокируя все запросы даже для новых приложений, которые не имеют этих уязвимостей, в экономически эффективном путь?
Спасибо за ваш ответ. Следует также упомянуть, что здесь мы используем разные технологии, а IIS - не единственный сервер веб-приложений. Есть ли способ сделать то же самое на более низком уровне, чтобы повлиять на все запросы и по-прежнему нацеливаться на конкретное приложение? – Reza
Чтобы узнать, как настроить правила блокировки запроса для веб-серверов, не относящихся к IIS (например, Apache с помощью mod_rewrite), я рекомендую сначала проверить, не задал ли кто-либо такой вопрос для вашей конкретной технологии, установленной в Stack Overflow, и если нет, идите вперед и задайте в качестве отдельного вопроса. Я по-прежнему считаю, что блокирование целевых запросов (на основе каждого веб-приложения) более подходит для вашего сценария, чем ограничение по всему Интернету во всех запросах GET. – Thriggle