Kobarin's Development Blog

C#やASP.NETなどについての記録です。

UrlScanでCookieもチェックした場合の注意事項

IIS

http://technet.microsoft.com/ja-jp/library/dd939051.aspx
の[SQL Injection Headers]に基づいて設定した場合、
[SQL Injection]には含まれている「update」等の禁止語句がない。
ただ、これを追記すると通常のリクエストが全て拒否られるため、追記してはダメ。マニュアル通りにした方が無難。


また、

ScanQueryString=0

になっているが、このままだとQueryStringをチェックしてくれないので、以下のように訂正する。

ScanQueryString=1