¿Cuáles son las consecuencias de activar Apache AllowEncodedSlashes? Quiero activarlo y quiero saber si esto es peor que cualquiera de los otros tipos de ataques de inyección que pueden ocurrir en las aplicaciones web.
Su servidor web no debe ser responsable de la codificación correcta de la entrada proporcionada por el usuario. Si esto causara que sea vulnerable a la inyección, significa que su aplicación no desinfecta la entrada del usuario correctamente.
Siempre se ha considerado un problema de seguridad debido a que la aplicación que se ejecuta en el servidor web no siempre escapaba a la entrada correctamente, lo que provocaba recorridos de ruta. Pero, en última instancia, la responsabilidad del problema reside en la aplicación web, no en el servidor web. Por lo tanto, si su aplicación escapa correctamente de estos valores, debería estar bien.
Lea otras preguntas en las etiquetas apache