Kh?c ph?c: ISA 2006 kh?i xu?t b?n trang web yêu c?u cho các URL bao g?m v?n chuy?n tr? v? (CR) ho?c linefeeds (LF)

ID c?a bài: 2622172 - Xem s?n ph?m mà bài này áp d?ng vào.
Máy d?chThông báo: bài vi?t này là bài đư?c d?ch b?i Máy d?ch
Quan tr?ng Bài vi?t này ch?a thông tin đó cho b?n th?y làm th? nào đ? giúp thi?t đ?t b?o m?t th?p hơn ho?c làm th? nào đ? t?t tính năng b?o m?t trên máy tính. Bạn có thể thực hiện những thay đổi này để giải quyết một vấn đề cụ thể. Trư?c khi b?n th?c hi?n nh?ng thay đ?i này, chúng tôi khuyên b?n đánh giá các r?i ro liên quan đ?n vi?c th?c hi?n quy tr?nh này trong môi trư?ng c? th? c?a b?n. N?u b?n th?c hi?n các th? t?c này, m?t b?t k? bư?c b? sung thích h?p đ? giúp b?o v? máy tính.
Bung t?t c? | Thu g?n t?t c?

TRI?U CH?NG

Hãy xem xét các tình huống sau:
  • B?n xu?t b?n m?t trang web thông qua Microsoft Internet Security và tăng t?c (ISA) Server 2006 b?ng cách s? d?ng các h?nh th?c d?a trên xác th?c.
  • B?n truy c?p trang web b?ng cách s? d?ng m?t URL có ch?a m?t s? tr? l?i thoát đư?c v?n chuy?n ("% 0 D") ho?c m?t linefeed ("% 0A") trong URL.

Trong trư?ng h?p này, ISA Server 2006 ch?n quy?n truy c?p vào URL. Ngoài ra, các b?n ghi ISA Web Proxy hi?n th? m?t m? s? k?t qu? c?a 12232 b? t? ch?i yêu c?u.

Chú ý Lưu ? r?ng m? k?t qu? này c?ng có th? đăng nh?p v? các v?n đ? khác và r?ng URL đư?c đăng nh?p s? ph?i đư?c xem xét cho % 0a ho?c % 0 d k? t? đ? xác đ?nh xem đây là v?n đ? mà b?n có kinh nghi?m.
Quay l?i đ?u trang | Cung cấp Phản hồi

NGUYÊN NHÂN

V?n đ? này x?y ra b?i v? các b? l?c các h?nh th?c xác th?c d?a trên ch?n đư?c bi?t đ?n cross-site scripting và các cu?c t?n công có liên quan. Trong trư?ng h?p này, các b? l?c là ch?n ph?n ?ng thông qua vi?c tách các cu?c t?n công mà c?ng bao g?m v?n chuy?n l?i nhu?n ho?c linefeeds. Tuy nhiên, các URL h?p l? c?ng có th? bao g?m các k? t?. Ví d?, ?ng d?ng IBM h?p l? Clearquest đư?c bi?t là s? d?ng tr? v? v?n chuy?n ho?c linefeeds trong các URL c?a nó.
Quay l?i đ?u trang | Cung cấp Phản hồi

GI?I PHÁP

Đ? gi?i quy?t v?n đ? này, cài đ?t ISA Server 2006 hotfix rollup gói đư?c mô t? trong bài vi?t cơ s? ki?n th?c Microsoft sau đây:
2616326
(http://support.microsoft.com/kb/2616326/ )
Mô t? c?a gói ph?n m?m hotfix ISA Server 2006: tháng 9 năm 2011
Quay l?i đ?u trang | Cung cấp Phản hồi

THÔNG TIN THÊM

C?nh báo Th? t?c này có th? làm cho m?t máy tính ho?c m?ng d? b? t?n công b?i ngư?i s? d?ng đ?c h?i, ho?c b?ng các ph?n m?m đ?c h?i như vi-rút. Chúng tôi không khuyên b?n nên th? t?c này, nhưng đang cung c?p thông tin này do đó b?n có th? th?c hi?n các th? t?c này theo ? riêng c?a b?n. S? d?ng th? t?c này nguy cơ c?a riêng b?n.

Các k?ch b?n sau đây s? vô hi?u hoá hành vi m?c đ?nh trong ISA Server 2006 Service Pack 1 và cho phép ISA Server cho phép các URL có ch?a v?n chuy?n tr? v? (CR) ho?c linefeeds (LF) t?i đ?a ch? URL. Đ? s? d?ng k?ch b?n này, h?y làm theo các bư?c sau.

Quan tr?ngChú ý Vô hi?u hoá hành vi này m?c đ?nh c?a ISA Server 2006 SP1 (đ? ch?a ?ng d?ng như v?y) c?ng có th? cho phép ISA Server đ? có kh? năng cho phép các URL đó có đư?c đ?c bi?t crafted cho các cu?c t?n công "cross-site gi? m?o yêu c?u" khi ISA Server s? d?ng h?nh th?c d?a trên xác th?c.
  1. B?t đ?u Notepad.
  2. Dán đo?n m? sau vào m?t tài li?u m?i.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
Const SE_VPS_NAME = "AllowNewlineInURL"
Const SE_VPS_VALUE = true
 
Sub SetValue()
 
    ' Create the root object.
    Dim root  ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")
 
    'Declare the other objects needed.
    Dim array       ' An FPCArray object
    Dim VendorSets  ' An FPCVendorParametersSets collection
    Dim VendorSet   ' An FPCVendorParametersSet object
 
    ' Get references to the array object
    ' and to the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets
 
    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )
 
    If Err.Number <> 0 Then
        Err.Clear
 
        ' Add the item
        Set VendorSet = VendorSets.Add( SE_VPS_GUID )
       CheckError
        WScript.Echo "New VendorSet added... " & VendorSet.Name
 
    Else
        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
    End If
 
    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
 
        Err.Clear
        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
 
        If Err.Number <> 0 Then
            CheckError
        Else
            VendorSets.Save false, true
            CheckError
 
            If Err.Number = 0 Then
                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
            End If
        End If
    Else
        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If
 
End Sub
 
Sub CheckError()
 
    If Err.Number <> 0 Then
        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
        Err.Clear
    End If
 
End Sub
 
SetValue
  3. Trên các Tệp tr?nh đơn, nh?p vào Löu laøm, và sau đó lưu các t?p tin như AllowNewlineInURL.vbs.
  4. T?i d?u nh?c l?nh, g? l?nh sau, và sau đó nh?n Enter:
    cscript AllowNewlineInURL.vbs
Đ? tr? v? hành vi m?c đ?nh trong ISA Server 2006 Service Pack 1 đ? ch?n các URL có th? ch?a các cu?c t?n công gi? m?o cross-site yêu c?u khi b?n s? d?ng các h?nh th?c d?a trên xác th?c, h?y làm theo các bư?c sau:
  1. B?t đ?u Notepad và sau đó m? các t?p l?nh AllowNewlineInURL.vbs.
  2. Xác đ?nh v? trí d?ng sau m? trong k?ch b?n.
    Const SE_VPS_VALUE = true
  3. Thay đ?i m? đ? d?ng sau:
    Const SE_VPS_VALUE = false
  4. Trên các Tệp tr?nh đơn, nh?p vào Lưu.
  5. T?i d?u nh?c l?nh, g? l?nh sau, và sau đó nh?n Enter:
    cscript AllowNewlineInURL.vbs
Quay l?i đ?u trang | Cung cấp Phản hồi

T?NH TR?NG

Microsoft đ? xác nh?n r?ng đây là m?t v?n đ? trong các s?n ph?m c?a Microsoft đư?c li?t kê trong ph?n "Áp d?ng cho".
Quay l?i đ?u trang | Cung cấp Phản hồi

THAM KH?O

Để biết thêm thông tin về thuật ngữ cập nhật phần mềm, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
824684
(http://support.microsoft.com/kb/824684/ )
Mô tả thuật ngữ chuẩn được sử dụng để mô tả các bản cập nhật phần mềm của Microsoft
Quay l?i đ?u trang | Cung cấp Phản hồi

Thu?c tính

ID c?a bài: 2622172 - L?n xem xét sau cùng: 06 Tháng Mười 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1, khi đư?c dùng v?i:
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
T? khóa: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:2622172
(http://support.microsoft.com/kb/2622172/en-us/ )
Quay l?i đ?u trang | Cung cấp Phản hồi

Cung cấp Phản hồi

 
Quay l?i đ?u trangQuay l?i đ?u trang