【发布时间】:2020-08-25 16:56:56
【问题描述】:
我一直在查看 ASP.NET 应用程序中的 WAF 发现。 WAF 是带有 OWASP CRS 的 ModSecurity。其中一项发现是:
URL 文件扩展名受政策限制,规则 ID 920440
它向文件 WebResource.axd 和 ScriptResource.axd 发射。
我做了一些研究。我发现这些文件是 HTTP 处理程序,它们嵌入在程序集中。我找到了所说的规则 - 这是一个简单的规则,它只是检查文件扩展名并基于此阻止请求。 .axd 恰好是列出的文件扩展名之一。
据我了解,这些文件可能是使用 AJAX 连接的(我可能在这个问题上错了)。但是,我没有在互联网上找到任何原因/解释为什么这些被 OWASP 列入黑名单。唯一可能提供线索的信息是this question。
为什么 .axd 文件会被列入黑名单?它们被弃用了吗?是否可以将这些列为规则的例外情况,或者这些可能会带来一些实际风险?最后,如何修改 ASP.NET 应用程序使其不需要这些文件?
【问题讨论】:
标签: asp.net mod-security