URL Encoding

ะมีปัญหาเกิดขึ้นเมื่อผู้คนต้องการส่งข้อมูลในแบบ binary เป็นส่วนหนึ่งของ URL ดังนั้น URLs จึงต้องมีความสามารถในการ เข้ารหัส (encode) ข้อมูลในแบบ binary ให้เป็นส่วนหนึ่งของ text field

กลไกการเข้ารหัสนี้สามารถใช้เพื่อเปลี่ยนแปลง signature ของ นักเจาะที่ต้องการโจมตีผ่านทางการสื่อสารแบบเว็ป การเข้ารหัสแบบนี้สามารถใช้เพื่อหลบหลีกการตรวจจับของระบบ intrusion detecion system ที่มีขนาดเล็กที่ไม่สามารถ ตีความ (normalize) URL นั้นได้

ตัวอย่าง: เว็ปเซิร์ฟเวอร์ของไมโครซอฟท์ ที่ใช้ ASP server-side script นักเจาะสามารถเพิ่มจุด (dot) ลงไปท้าย URL เพื่อให้สามารถอ่านเนื้อหาของ script แทนที่จะรันสคริปท์นั้น ต่อมาไมโครซอฟท์ได้ออก patch แก้ไขปัญหานี้ แต่นักเจาะก็สามารถค้นพบวิธีการหลบหลีก patch โดยการใช้ URL-encoding เพื่อเข้ารหัสเครื่องหมายจุด (โดยการเพิ่ม %2E เข้าไปแทนที่เครื่องหมายจุด) เช่น

http://www.robertgraham.com/sample.asp URL ทั่ว ๆ ไป

http://www.robertgraham.com/sample.asp. พยายามที่จะอ่านสคริปท์แทนที่จะรันสคริปท์

http://www.robertgraham.com/sample.asp%2E URL-encoding เพื่อหลบหลีก patch

http://www.robertgraham.com/sample.%61sp%2E URL-encoding ที่ใช้เพื่อหลบหลีกการตรวจพบจากระบบ intrusion detection systems

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License