Я смотрю наши журналы Windows Server 2012 R2 и вижу многие из этих типов предупреждений / ошибок.
http://example.com/page.aspx?aa4=1&bb3=20999999.1 union select unhex & c = E, 1,4rln7NsBMfSHKp1Oxq9pnezDOpERYplN_SU, & typo = 1 (hex (version ())) - и 1 = 1
Я усек его для удобства чтения. Я установил переопределение URL-адресов IIS и добавил правила для запрета запросов php (что было начальной проблемой), но теперь они возвращаются с атаками SQL. Итак, я попытался добавить еще одно правило с регулярным выражением ^. * Union (я пробовал и другие варианты), но, похоже, не блокирует приведенный выше сценарий?
Затем я добавил объединение в раздел URL-адресов в разделе «Фильтрация запросов», но это тоже не работает.
Есть ли у кого-нибудь более реальный способ заблокировать этот тип запросов от доступа к серверу? К сожалению, я не могу вносить какие-либо изменения в рассматриваемый сайт в качестве третьей стороны.
В качестве альтернативы есть фильтр URLScan ISAPI, который может помочь, docs.microsoft.com/en-us/iis/extensions/working-with-urlscan/…. Не использовал его в последнее время, но потенциально может помочь.
Вам необходимо развернуть WAF (брандмауэр веб-приложений) перед фактическим сервером, он может отфильтровать все вредоносные запросы. Cloudflare также можно использовать для предоставления такой услуги в облаке.
NGINX также можно использовать, но у меня нет опыта в этом. https://docs.nginx.com/nginx-waf/admin-guide/nginx-plus-modsecurity-waf-owasp-crs/