ASP.NET 1.1で不正なUTF-8シーケンスを除去する絡みで、WAFとかIDSを回避できてしまう、仕様というか脆弱性らしい

発見された問題
下記条件の場合、ASP.NETでも類似の回避手法が存在することが分かった。

• ASP.NET 1.1を利用している(ASP.NET 2.0以上の場合は問題なし)
• HTTPリクエストの文字エンコーディングとしてUTF-8を利用している

この場合に、「不正なUTF-8シーケンス」をASP.NETは除去することが分かった。具体的には、「DEC%C0LARE」のような入力に対して「%C0L」はUTF-8として不正なので、「%C0」のみを除去する。その結果、ASP.NETスクリプトが受け取る入力文字列は「DECLARE」となる。

http://www.hash-c.co.jp/info/20090323.html

関連記事

• ASP.NET 1.1に新たなSQLインジェクションの可能性，IDS/IPS/WAFを素通り：ITpro