Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Khắc phục: ISA 2006 khối xuất bản trang web yêu cầu cho các URL bao gồm vận chuyển trả về (CR) hoặc linefeeds (LF)

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:2622172
Quan trọng Bài viết này chứa thông tin đó cho bạn thấy làm thế nào để giúp thiết đặt bảo mật thấp hơn hoặc làm thế nào để tắt tính năng bảo mật trên máy tính. Bạn có thể thực hiện những thay đổi này để giải quyết một vấn đề cụ thể. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn đánh giá các rủi ro liên quan đến việc thực hiện quy trình này trong môi trường cụ thể của bạn. Nếu bạn thực hiện các thủ tục này, mất bất kỳ bước bổ sung thích hợp để giúp bảo vệ máy tính.
TRIỆU CHỨNG
Hãy xem xét các tình huống sau:
  • Bạn xuất bản một trang web thông qua Microsoft Internet Security và tăng tốc (ISA) Server 2006 bằng cách sử dụng các hình thức dựa trên xác thực.
  • Bạn truy cập trang web bằng cách sử dụng một URL có chứa một sự trở lại thoát được vận chuyển ("% 0 D") hoặc một linefeed ("% 0A") trong URL.

Trong trường hợp này, ISA Server 2006 chặn quyền truy cập vào URL. Ngoài ra, các bản ghi ISA Web Proxy hiển thị một mã số kết quả của 12232 bị từ chối yêu cầu.

Chú ý Lưu ý rằng mã kết quả này cũng có thể đăng nhập vì các vấn đề khác và rằng URL được đăng nhập sẽ phải được xem xét cho % 0a hoặc % 0 d ký tự để xác định xem đây là vấn đề mà bạn có kinh nghiệm.
NGUYÊN NHÂN
Vấn đề này xảy ra bởi vì các bộ lọc các hình thức xác thực dựa trên chặn được biết đến cross-site scripting và các cuộc tấn công có liên quan. Trong trường hợp này, các bộ lọc là chặn phản ứng thông qua việc tách các cuộc tấn công mà cũng bao gồm vận chuyển lợi nhuận hoặc linefeeds. Tuy nhiên, các URL hợp lệ cũng có thể bao gồm các ký tự. Ví dụ, ứng dụng IBM hợp lý Clearquest được biết là sử dụng trở về vận chuyển hoặc linefeeds trong các URL của nó.
GIẢI PHÁP
Để giải quyết vấn đề này, cài đặt ISA Server 2006 hotfix rollup gói được mô tả trong bài viết cơ sở kiến thức Microsoft sau đây:
2616326 Mô tả của gói phần mềm hotfix ISA Server 2006: tháng 9 năm 2011
THÔNG TIN THÊM
Cảnh báo Thủ tục này có thể làm cho một máy tính hoặc mạng dễ bị tấn công bởi người sử dụng độc hại, hoặc bằng các phần mềm độc hại như vi-rút. Chúng tôi không khuyên bạn nên thủ tục này, nhưng đang cung cấp thông tin này do đó bạn có thể thực hiện các thủ tục này theo ý riêng của bạn. Sử dụng thủ tục này nguy cơ của riêng bạn.

Các kịch bản sau đây sẽ vô hiệu hoá hành vi mặc định trong ISA Server 2006 Service Pack 1 và cho phép ISA Server cho phép các URL có chứa vận chuyển trả về (CR) hoặc linefeeds (LF) tại địa chỉ URL. Để sử dụng kịch bản này, hãy làm theo các bước sau.

Quan trọngChú ý Vô hiệu hoá hành vi này mặc định của ISA Server 2006 SP1 (để chứa ứng dụng như vậy) cũng có thể cho phép ISA Server để có khả năng cho phép các URL đó có được đặc biệt crafted cho các cuộc tấn công "cross-site giả mạo yêu cầu" khi ISA Server sử dụng hình thức dựa trên xác thực.
  1. Bắt đầu Notepad.
  2. Dán đoạn mã sau vào một tài liệu mới.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "AllowNewlineInURL"Const SE_VPS_VALUE = true Sub SetValue()     ' Create the root object.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")     'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object     ' Get references to the array object    ' and to the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets     On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )     If Err.Number <> 0 Then        Err.Clear         ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )       CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name     Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If     if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then         Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE         If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError             If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End If End Sub Sub CheckError()     If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End If End Sub SetValue
  3. Trên các Tệp trình đơn, nhấp vào Löu laøm, và sau đó lưu các tập tin như AllowNewlineInURL.vbs.
  4. Tại dấu nhắc lệnh, gõ lệnh sau, và sau đó nhấn Enter:
    cscript AllowNewlineInURL.vbs
Để trở về hành vi mặc định trong ISA Server 2006 Service Pack 1 để chặn các URL có thể chứa các cuộc tấn công giả mạo cross-site yêu cầu khi bạn sử dụng các hình thức dựa trên xác thực, hãy làm theo các bước sau:
  1. Bắt đầu Notepad và sau đó mở các tập lệnh AllowNewlineInURL.vbs.
  2. Xác định vị trí dòng sau mã trong kịch bản.
    Const SE_VPS_VALUE = true
  3. Thay đổi mã để dòng sau:
    Const SE_VPS_VALUE = false
  4. Trên các Tệp trình đơn, nhấp vào Lưu.
  5. Tại dấu nhắc lệnh, gõ lệnh sau, và sau đó nhấn Enter:
    cscript AllowNewlineInURL.vbs
TÌNH TRẠNG
Microsoft đã xác nhận rằng đây là một vấn đề trong các sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
THAM KHẢO
Để biết thêm thông tin về thuật ngữ cập nhật phần mềm, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
824684 Mô tả thuật ngữ chuẩn được sử dụng để mô tả các bản cập nhật phần mềm của Microsoft
ISA2010

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 2622172 - Xem lại Lần cuối: 10/06/2011 21:26:00 - Bản sửa đổi: 2.0

Microsoft Internet Security and Acceleration Server 2006 Service Pack 1

  • kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtvi
Phản hồi