Назад | Перейти на главную страницу

Правило перезаписи IIS для URL-адресов черных дыр с апострофом

Я купил веб-приложение, в котором не используются специальные символы. Изучая свои журналы, я вижу, что злоумышленники пытаются выяснить, уязвим ли мой сайт для SQL-инъекции, добавляя апострофы и другие символы char (), которые обычно никогда не используются. Я доверяю безопасности своего приложения (в основном), но хотел посмотреть, не закроет ли их запрос правило перезаписи или какая-либо другая методология. Мое веб-приложение выдает стандартную ошибку. Я ищу правила или идеи, чтобы 1.) дать злоумышленнику как можно меньше информации без 2.) добавления больших накладных расходов на сервер. Есть много примеров правил перезаписи, но я не нашел ни одного, которые касаются этого угла.

Простой пример зондирования: https://sub.domain.com/default.aspx?page=3500'A=0&Id=497066

Что-то вроде этого? Это отсеивает некоторые из наиболее неприятных символов SQL.

  <system.webServer>
      <rules>
        <rule name="No SQL injection" stopProcessing="true">
          <match url=".*" />
          <conditions>
            <add input="{QUERY_STRING}" pattern="['\(\);]" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
  </system.webServer>

Это прервет запрос, если любой из символов '(); появляются в строке запроса.

Нет правила внедрения SQL