FIX: ISA 2006 차단 웹 사이트 요청 캐리지 리턴 (CR) 줄 바꿈 (LF)를 포함 하는 Url에 대 한 게시

기술 자료 번역 기술 자료 번역
기술 자료: 2622172 - 이 문서가 적용되는 제품 보기.
중요 한 이 문서에서는 낮은 보안 설정을 데 도움이 되는 방법 또는 컴퓨터의 보안 기능을 해제 하는 방법을 보여 주는 정보가 포함 되어 있습니다. 특정 문제를 해결 하려면 이러한 변경할 수 있습니다. 이렇게이 변경 하기 전에 특정 환경에서이 절차를 구현 하는 함께 관련 된 위험을 평가 하는 것이 좋습니다. 이 절차를 구현 하는 경우 컴퓨터를 보호 하기 위해 적절 한 추가로 취하십시오.
모두 확대 | 모두 축소

현상

다음 시나리오를 고려 하십시오.
  • 폼 기반 인증을 사용 하 여 Microsoft 인터넷 보안 및 가속 (ISA) Server 2006 통해 웹 페이지를 게시 합니다.
  • ("%0 D")는 이스케이프 된 캐리지 리턴 또는 줄 바꿈 ("%0a") URL에 포함 된 URL을 사용 하 여이 웹 페이지에 액세스 합니다.

이 시나리오에서 ISA Server 2006 url 액세스를 차단합니다. 또한, ISA 웹 프록시 로그 12232 거부 된 요청에 대 한 결과 코드를 보여 줍니다.

참고 이 결과 코드가 다른 문제 때문에 기록 될 수 및 기록 되는 URL을 검토 하 게 명심 하십시오. %0a 또는 d %0 문자 발생 했던 문제가 있는지 확인 합니다.

원인

폼 기반 인증 필터가 알려진 크로스 사이트 스크립팅 및 관련된 공격을 차단 하기 때문에이 문제가 발생 합니다. 이 경우 필터 응답 분할 된 캐리지 리턴 또는 줄 바꿈이 포함 되는 공격을 차단 합니다. 그러나 유효한 Url도 이러한 문자를 포함할 수 있습니다. 예를 들어, IBM Rational Clearquest 응용 프로그램에 해당 Url을 사용 하 여 캐리지 리턴 또는 줄 바꿈이 이라고 합니다.

해결 방법

이 문제를 해결 하려면 다음 Microsoft 기술 자료 문서에서 설명 하는 ISA Server 2006 핫픽스 롤업 패키지를 설치 하십시오.
2616326 ISA Server 2006 핫픽스 패키지에 대 한: 2011 년 9 월

추가 정보

경고 이 절차는 컴퓨터나 네트워크 공격에 더 취약 한 악의적인 사용자나 바이러스와 같은 악의적인 소프트웨어의 공격을 할 수 있습니다. 우리가이 이렇게 권장 하지는 않지만 사용자 판단에 따라가이 절차를 구현할 수 있도록이 정보가 제공 됩니다. 모든 책임은 사용자에 대 한 절차입니다.

다음 스크립트 ISA Server 2006 서비스 팩 1에서 기본 동작을 사용 하지 않도록 설정 하 고 URL 주소에 줄 바꿈 (LF) 또는 캐리지 리턴 (CR)에 포함 된 Url을 허용 하도록 ISA 서버를 사용 하도록 설정 합니다. 이 스크립트를 사용 하려면 다음과이 같이 하십시오.

중요 한참고 이 기본 동작을 ISA Server 2006 s p 1을 사용 하지 않으면 (이러한 응용 프로그램을 수용 하기 위해) 잠재적으로 양식 기반 인증 ISA Server를 사용 하는 경우 "간 요청 위조 사이트" 공격에 대 한 특수 한 한 Url을 허용 하도록 ISA Server 가능 합니다.
  1. 메모장을 시작 합니다.
  2. 다음 스크립트를 새 문서에 붙여 넣습니다.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. 파일 메뉴를 클릭 다른 이름으로 저장를 클릭 하 고 다음 파일을 AllowNewlineInURL.vbs.
  4. 명령 프롬프트에서 다음 명령을 입력 하 고 enter 키를 누릅니다.
    cscript AllowNewlineInURL.vbs
폼 기반 인증을 사용 하면 사이트 간 요청 위조 공격을 포함할 수 있는 Url을 차단 하도록 ISA Server 2006 서비스 팩 1에서 기본 동작으로 돌아가려면 다음과이 같이 하십시오.
  1. 메모장을 시작한 다음 AllowNewlineInURL.vbs 스크립트를 엽니다.
  2. 스크립트에 다음 코드 줄을 찾습니다.
    Const SE_VPS_VALUE = true
    
  3. 코드에 다음 줄을 변경:
    Const SE_VPS_VALUE = false
    
  4. 파일 메뉴를 클릭 저장.
  5. 명령 프롬프트에서 다음 명령을 입력 하 고 enter 키를 누릅니다.
    cscript AllowNewlineInURL.vbs

현재 상태

Microsoft는 "적용 대상" 절에 나열 된 제품에서 문제가 있음을 확인 했습니다.

참조

소프트웨어 업데이트 용어에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 하십시오.
824684 Microsoft 소프트웨어 업데이트를 설명 하는 데 사용 되는 표준 용어에 대 한 설명

속성

기술 자료: 2622172 - 마지막 검토: 2011년 10월 6일 목요일 - 수정: 2.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
키워드:?
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.
이 문서의 영문 버전 보기:2622172

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com