allowdoubleescaping = verdaderas implicaciones de seguridad

1

IIS no permite el doble escape por defecto, lo que es una buena práctica.

  1. ¿Cuáles son las implicaciones reales si están habilitadas?
  2. ¿Cómo se ve un escenario de ataque válido en este caso? utiliza doble escape?
  3. ¿Y de qué debería ocuparse mi solicitud si está permitida?

Un ejemplo podría ser el enrutamiento desde la URL y la reutilización de la cadena y la cadena podría contener un + como carácter válido y, por lo tanto, fallaría la prueba de doble codificación si se utilizara dentro de la ruta.

¡Muchas gracias!

    
pregunta dalini 10.10.2016 - 15:04
fuente

0 respuestas

Lea otras preguntas en las etiquetas