首页 > 网络安全 > IIS Bad Request BUG

IIS Bad Request BUG

2009年8月7日 发表评论 阅读评论 
GET /%0A%0D HTTP/1.1<br />Host: 127.0.0.1<br />User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)<br />Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8<br />Accept-Language: zh-cn,zh;q=0.5<br />Accept-Encoding: gzip,deflate<br />Accept-Charset: GB2312,utf-8;q=0.7,*;q=0.7<br />Keep-Alive: 300<br />Connection: keep-alive<br />Cache-Control: max-age=0<br /><br />HTTP/1.x 400 Bad Request<br />Content-Type: text/html<br />Date: Fri, 07 Aug 2009 04:12:39 GMT<br />Connection: close<br />Content-Length: 34<br />


GET部分未进行 UrlEncode造成Bad Request。同时 header() 注入%0d%0a 时也可用 UrEncode() 进行解决。

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:IIS Bad Request BUG
本文地址:http://www.woyigui.cn/2009/08/07/IIS-Bad-Request-BUG/

分类: 网络安全 标签: ,
  1. S
    2009年8月7日11:31 | #1
    回复 | 引用

    stupid终于发啦。。。

    [回复]

    woyigui 回复:
    八月 7th, 2009 at 下午 12:52

    哈,这个和那个不一样,这个只是一小部分。。这个只在当前会话中引发,不会持久!并且没有攻击性,所以只算是 BUG。。

    [回复]

  1. 本文目前尚无任何 trackbacks 和 pingbacks.