Mic*_*cki 5 asp.net mod-security
我一直在研究 ASP.NET 应用程序中的 WAF 结果。WAF 是带有 OWASP CRS 的 ModSecurity。其中一项调查结果是:
URL 文件扩展名受到策略规则 ID 920440 的限制,
并且它在文件 WebResource.axd 和 ScriptResource.axd 上触发。
我做了一些研究。我发现这些文件是 HTTP 处理程序,并且嵌入在程序集中。我发现了上述规则 - 这是一个简单的规则,它只是检查文件扩展名并据此阻止请求。.axd 恰好是列出的文件扩展名之一。
据我了解,这些文件可能与使用 AJAX 相关(我在这一点上可能是错的)。然而,我没有在互联网上找到任何原因/解释为什么这些被 OWASP 列入黑名单。唯一可能提供线索的信息就是这个问题。
为什么 .axd 文件被列入黑名单?它们已被弃用吗?这些是否可以列为规则的例外,或者可能会带来一些实际风险?最后,如何修改 ASP.NET 应用程序使其不需要这些文件?
| 归档时间: |
|
| 查看次数: |
1646 次 |
| 最近记录: |