IIS 7 이상 SQL Injection 빠르게 차단하기
iis 에 개설된 사이트가 많은경우 사이트마다 web.config 에 rewriter 를 적용하는게 쉽지 않기때문
전역 파일인 applicationHost.config 의 <requestFiltering> 섹션을 찾아 아래와 같이 추가하도록하자
필터링 하고싶은 문자열을 더 추가하고싶다면,, 아래 add 태그를 참고하여 추가하자 참고로 “@’ 문자열의 경우 Querystring 으로 메일 전송 또는 파라미터이름이 아래 문자열에 포함되면 차단되니 유의하자
<requestFiltering>
<filteringRules>
<filteringRules>
<filteringRule name=”SQLInjection” scanQueryString=”true”>
<appliesTo>
<add fileExtension=”.asp” />
<add fileExtension=”.aspx” />
</appliesTo>
<denyStrings>
<add string=”–” />
<add string=”;” />
<add string=”/*” />
<add string=”@” /> <!– 쿼리스트링으로 email 전송하는경우 @ 필터링 되므로 유의 –>
<add string=”@” /> <!– 쿼리스트링으로 email 전송하는경우 @ 필터링 되므로 유의 –>
<add string=”char” />
<add string=”alter” />
<add string=”begin” />
<add string=”cast” />
<add string=”create” />
<add string=”cursor” />
<add string=”declare” />
<add string=”delete” />
<add string=”drop” />
<add string=”end” />
<add string=”exec” />
<add string=”fetch” />
<add string=”insert” />
<add string=”kill” />
<add string=”open” />
<add string=”select” />
<add string=”sys” />
<add string=”table” />
<add string=”update” />
</denyStrings>
</filteringRule>
</filteringRules>
Views Today : 46
Views Yesterday : 36
Views This Month : 289
Views This Year : 20945
Total views : 79563
Who's Online : 1