Я купил веб-приложение, в котором не используются специальные символы. Изучая свои журналы, я вижу, что злоумышленники пытаются выяснить, уязвим ли мой сайт для SQL-инъекции, добавляя апострофы и другие символы char (), которые обычно никогда не используются. Я доверяю безопасности своего приложения (в основном), но хотел посмотреть, не закроет ли их запрос правило перезаписи или какая-либо другая методология. Мое веб-приложение выдает стандартную ошибку. Я ищу правила или идеи, чтобы 1.) дать злоумышленнику как можно меньше информации без 2.) добавления больших накладных расходов на сервер. Есть много примеров правил перезаписи, но я не нашел ни одного, которые касаются этого угла.
Простой пример зондирования: https://sub.domain.com/default.aspx?page=3500'A=0&Id=497066
Что-то вроде этого? Это отсеивает некоторые из наиболее неприятных символов SQL.
<system.webServer>
<rules>
<rule name="No SQL injection" stopProcessing="true">
<match url=".*" />
<conditions>
<add input="{QUERY_STRING}" pattern="['\(\);]" />
</conditions>
<action type="AbortRequest" />
</rule>
</rules>
</system.webServer>
Это прервет запрос, если любой из символов '();
появляются в строке запроса.