修复: ISA 2006 块发布的网站请求的 Url 包含回车 (CR) 或换行符 (LF)

文章翻译 文章翻译
文章编号: 2622172 - 查看本文应用于的产品
重要 本文向您显示如何帮助降低安全设置或如何关闭计算机上的安全功能的信息。您可以通过这些更改来解决特定问题。在进行这些更改之前,我们建议您评估您的特定环境中实施此过程带来的风险。如果实施该过程,采取任何适当的附加措施来帮助保护您的计算机。
展开全部 | 关闭全部

症状

请考虑以下情形:
  • 您将通过 Microsoft 互联网安全和加速 (ISA) 服务器 2006年网页发布通过使用基于窗体的身份验证。
  • 使用包含转义的回车 ("%0 D") 或换行符 ("%0a") 在 URL 中的 URL 来访问此网页。

在此方案中,ISA Server 2006 块访问到的 URL。此外,ISA Web 代理日志显示的结果代码为 12232 的被拒绝的请求。

注意 请记住,此结果代码还可以记录其他性的原因,并记录该 URL 将不得不检查,以查找 %0ad %0 若要确定这是否是您遇到此问题的字符。

原因

因为基于表单的身份验证筛选器阻止已知的跨站点脚本和相关的攻击,将出现此问题。在这种情况下,筛选器将阻止响应分割的攻击,还包括回车或换行。但是,有效的 Url 也可以包括这些字符。例如,IBM 有理 Clearquest 应用程序是已知其 Url 中使用回车或换行。

解决方案

要解决此问题,请安装以下 Microsoft 知识库文章中的描述了 ISA Server 2006 修补程序汇总包:
2616326 ISA Server 2006 修补程序包的说明: 2011 年 9 月

更多信息

警告 此过程可能会使计算机或网络更容易受到恶意用户或恶意软件 (如病毒) 的攻击。我们不建议使用此过程,但提供此信息,因此您应自行决定实施此过程。使用此过程需要您自担风险。

下面的脚本将禁用 ISA 服务器 2006 Service Pack 1 中的默认行为,并使 ISA 服务器能够允许包含回车 (CR) 或换行符 (LF) 中的 URL 地址的 Url。若要使用此脚本,请按照下列步骤。

重要注意 (为了适应这样的应用程序) 禁用这种默认行为的 ISA Server 2006 SP1 还可使 ISA 服务器能够潜在地允许有已而推出的"跨站点请求伪造等"攻击时 ISA 服务器使用基于窗体的身份验证的 Url。
  1. 启动记事本。
  2. 将以下脚本粘贴到新文档。
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "AllowNewlineInURL"
    Const SE_VPS_VALUE = true
     
    Sub SetValue()
     
        ' Create the root object.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
     
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
     
        ' Get references to the array object
        ' and to the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
     
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
     
        If Err.Number <> 0 Then
            Err.Clear
     
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
     
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
     
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
     
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
     
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
     
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
     
    End Sub
     
    Sub CheckError()
     
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
     
    End Sub
     
    SetValue
  3. 在上 文件 菜单中,单击 另存为然后保存为文件 AllowNewlineInURL.vbs.
  4. 在命令提示符处,键入下面的命令,然后按 Enter 键:
    AllowNewlineInURL.vbs cscript
要返回到 ISA 服务器 2006 Service Pack 1 阻止可能包含跨站点请求伪造攻击,当您使用基于窗体的身份验证的 Url 中的默认行为,请执行以下步骤:
  1. 启动记事本,然后再打开 $ AllowNewlineInURL.vbs 脚本。
  2. 在脚本中找到下面的代码行。
    Const SE_VPS_VALUE = true
    
  3. 代码更改为以下行:
    Const SE_VPS_VALUE = false
    
  4. 在上 文件 菜单中,单击 保存.
  5. 在命令提示符处,键入下面的命令,然后按 Enter 键:
    AllowNewlineInURL.vbs cscript

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的一个问题。

参考

有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 2622172 - 最后修改: 2011年10月6日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1?当用于
    • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
    • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
关键字:?
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2622172
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com