Wie können Sie Anwendungen sichern, die anfällig für Anführungszeichen sind, ohne den Code zu ändern?

Question

Ich habe entdeckt, dass die Sicherheitsleute in unserem Netzwerk GET-Anfragen blockieren, die Zeichen wie <,>, "," und ihre kodierten Äquivalente enthalten. Diese Zeichen werden von vielen Webanwendungen benötigt, um korrekt zu funktionieren und sogar beim Erstellen neuer Apps Wir müssen diese restriktive Regel in Betracht ziehen.Wir müssen verschiedene Arten von Hacks machen, um Out-of-the-Box- oder sogar neue Apps funktionieren zu lassen.Wenn ich die Angelegenheit diskutierte, stellte sich heraus, dass sie viele alte Apps zur Hand haben Es gibt Sicherheitslücken, die von diesen Charakteren ausgelöst werden können (SQL Injection, ...) und sie haben keinen Zugang zu Leuten, um diese Probleme zu lösen, also haben sie sich entschieden, diese Anfragen alle zusammen zu blockieren Es gibt keinen anderen Weg um das.

Ich frage mich, wie andere Unternehmen ses erreichen dasselbe, ohne eine solche Begrenzung zu setzen oder um genau zu sein: Wie können wir diese alte Webanwendung sichern, ohne ihren Quellcode zu ändern und alle Anfragen sogar für neue Anwendungen zu blockieren, die diese Schwachstellen nicht kosteneffektiv haben Weg?

Answer 1

Der Ansatz von Ihrem Netzwerk-Sicherheitsteam ist nicht komplett absurd, aber es ist zu breit angewendet.

Zum Beispiel IIS 7 (und höher) kann die URL Rewrite extension verwenden spezifische Anfrage-Blockierungsregeln zu spezifischen Stellen (und auch spezifische Domänen) anzuwenden; es tut nicht müssen solche Regeln auf alle Netzwerkverkehr gelten. Programme von Drittanbietern (wie ISAPI Rewrite) können von IIS 6 zu ähnlichen Zwecken verwandt werden. Ein sinnvollerer Ansatz wäre es, restriktive Anforderungsregeln für alle Sites einzurichten, auf denen die anfälligen älteren Webanwendungen gehostet werden, während Ihre modernen Webanwendungen wie gewohnt entsperrt werden können.