로그인

Select the product you need help with

FIX: ISA 2006 차단 웹 사이트 요청 캐리지 리턴 (CR) 줄 바꿈 (LF)를 포함 하는 Url에 대 한 게시

중요 한 이 문서에서는 낮은 보안 설정을 데 도움이 되는 방법 또는 컴퓨터의 보안 기능을 해제 하는 방법을 보여 주는 정보가 포함 되어 있습니다. 특정 문제를 해결 하려면 이러한 변경할 수 있습니다. 이렇게이 변경 하기 전에 특정 환경에서이 절차를 구현 하는 함께 관련 된 위험을 평가 하는 것이 좋습니다. 이 절차를 구현 하는 경우 컴퓨터를 보호 하기 위해 적절 한 추가로 취하십시오.

모두 확대 | 모두 축소

현상

다음 시나리오를 고려 하십시오.

폼 기반 인증을 사용 하 여 Microsoft 인터넷 보안 및 가속 (ISA) Server 2006 통해 웹 페이지를 게시 합니다.
("%0 D")는 이스케이프 된 캐리지 리턴 또는 줄 바꿈 ("%0a") URL에 포함 된 URL을 사용 하 여이 웹 페이지에 액세스 합니다.

이 시나리오에서 ISA Server 2006 url 액세스를 차단합니다. 또한, ISA 웹 프록시 로그 12232 거부 된 요청에 대 한 결과 코드를 보여 줍니다.

참고 이 결과 코드가 다른 문제 때문에 기록 될 수 및 기록 되는 URL을 검토 하 게 명심 하십시오. %0a 또는 d %0 문자 발생 했던 문제가 있는지 확인 합니다.

위로 가기 | 피드백 보내기

원인

폼 기반 인증 필터가 알려진 크로스 사이트 스크립팅 및 관련된 공격을 차단 하기 때문에이 문제가 발생 합니다. 이 경우 필터 응답 분할 된 캐리지 리턴 또는 줄 바꿈이 포함 되는 공격을 차단 합니다. 그러나 유효한 Url도 이러한 문자를 포함할 수 있습니다. 예를 들어, IBM Rational Clearquest 응용 프로그램에 해당 Url을 사용 하 여 캐리지 리턴 또는 줄 바꿈이 이라고 합니다.

위로 가기 | 피드백 보내기

해결 방법

이 문제를 해결 하려면 다음 Microsoft 기술 자료 문서에서 설명 하는 ISA Server 2006 핫픽스 롤업 패키지를 설치 하십시오.

2616326

(http://support.microsoft.com/kb/2616326/ )

ISA Server 2006 핫픽스 패키지에 대 한: 2011 년 9 월

위로 가기 | 피드백 보내기

추가 정보

경고 이 절차는 컴퓨터나 네트워크 공격에 더 취약 한 악의적인 사용자나 바이러스와 같은 악의적인 소프트웨어의 공격을 할 수 있습니다. 우리가이 이렇게 권장 하지는 않지만 사용자 판단에 따라가이 절차를 구현할 수 있도록이 정보가 제공 됩니다. 모든 책임은 사용자에 대 한 절차입니다.

다음 스크립트 ISA Server 2006 서비스 팩 1에서 기본 동작을 사용 하지 않도록 설정 하 고 URL 주소에 줄 바꿈 (LF) 또는 캐리지 리턴 (CR)에 포함 된 Url을 허용 하도록 ISA 서버를 사용 하도록 설정 합니다. 이 스크립트를 사용 하려면 다음과이 같이 하십시오.

중요 한참고 이 기본 동작을 ISA Server 2006 s p 1을 사용 하지 않으면 (이러한 응용 프로그램을 수용 하기 위해) 잠재적으로 양식 기반 인증 ISA Server를 사용 하는 경우 "간 요청 위조 사이트" 공격에 대 한 특수 한 한 Url을 허용 하도록 ISA Server 가능 합니다.

메모장을 시작 합니다.

다음 스크립트를 새 문서에 붙여 넣습니다.

Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
Const SE_VPS_NAME = "AllowNewlineInURL"
Const SE_VPS_VALUE = true
 
Sub SetValue()
 
    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")
 
    'Declare the other objects needed.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object
 
    ' Get references to the array object
    ' and to the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets
 
    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )
 
    If Err.Number <> 0 Then
        Err.Clear
 
        ' Add the item
        Set VendorSet = VendorSets.Add( SE_VPS_GUID )
       CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name
 
    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
    End If
 
    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
 
        Err.Clear
        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
 
        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError
 
            If Err.Number = 0 Then
                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
            End If
        End If
    Else
        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If
 
End Sub
 
Sub CheckError()
 
    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If
 
End Sub
 
SetValue

에 파일 메뉴를 클릭 다른 이름으로 저장를 클릭 하 고 다음 파일을 AllowNewlineInURL.vbs.
명령 프롬프트에서 다음 명령을 입력 하 고 enter 키를 누릅니다.
cscript AllowNewlineInURL.vbs

폼 기반 인증을 사용 하면 사이트 간 요청 위조 공격을 포함할 수 있는 Url을 차단 하도록 ISA Server 2006 서비스 팩 1에서 기본 동작으로 돌아가려면 다음과이 같이 하십시오.

메모장을 시작한 다음 AllowNewlineInURL.vbs 스크립트를 엽니다.
스크립트에 다음 코드 줄을 찾습니다.
Const SE_VPS_VALUE = true
코드에 다음 줄을 변경:
Const SE_VPS_VALUE = false
에 파일 메뉴를 클릭 저장.
명령 프롬프트에서 다음 명령을 입력 하 고 enter 키를 누릅니다.
cscript AllowNewlineInURL.vbs

위로 가기 | 피드백 보내기

현재 상태

Microsoft는 "적용 대상" 절에 나열 된 제품에서 문제가 있음을 확인 했습니다.

위로 가기 | 피드백 보내기

참조

소프트웨어 업데이트 용어에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 하십시오.

824684

(http://support.microsoft.com/kb/824684/ )

Microsoft 소프트웨어 업데이트를 설명 하는 데 사용 되는 표준 용어에 대 한 설명

위로 가기 | 피드백 보내기

속성

기술 자료: 2622172 - 마지막 검토: 2011년 10월 6일 목요일 - 수정: 2.0

본 문서의 정보는 다음의 제품에 적용됩니다.

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1?을(를) 다음과 함께 사용했을 때

Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
Microsoft Internet Security and Acceleration Server 2006 Standard Edition

kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtko

기계 번역된 문서

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

이 문서의 영문 버전 보기:2622172

(http://support.microsoft.com/kb/2622172/en-us/ )

위로 가기 | 피드백 보내기