การแก้ไข: บล็อก ISA 2006 ประกาศการร้องขอเว็บไซต์สำหรับ Url ที่มีการส่งกลับค่าขนส่ง (CR) หรือ linefeeds (LF)

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 2622172 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
สิ่งสำคัญ บทความนี้ประกอบด้วยข้อมูลซึ่งแสดงวิธีการตั้งค่าความปลอดภัยที่ต่ำกว่าหรือวิธีการปิดคุณลักษณะการรักษาความปลอดภัยบนเครื่องคอมพิวเตอร์ คุณสามารถทำการเปลี่ยนแปลงเหล่านี้เมื่อต้องการแก้ไขปัญหาที่เฉพาะเจาะจง ก่อนที่จะทำการเปลี่ยนแปลงเหล่านี้ เราขอแนะนำให้ คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติตามขั้นตอนนี้ในสภาพแวดล้อมของคุณ ถ้าคุณปฏิบัติตามขั้นตอนนี้ ใช้ขั้นตอนเพิ่มเติมเหมาะสมเพื่อช่วยปกป้องคอมพิวเตอร์ของคุณ
ขยายทั้งหมด | ยุบทั้งหมด

อาการ

พิจารณาสถานการณ์สมมติต่อไปนี้:
 • คุณเผยแพร่เว็บเพจ Microsoft Internet Security และ Acceleration (ISA) Server 2006 โดยใช้แบบฟอร์มโดยใช้การรับรองความถูกต้อง
 • คุณเข้าถึงเว็บเพจนี้ โดยใช้ URL ที่ประกอบด้วยการส่งคืนค่าขนส่ง escaped ("% 0 D") หรือเลื่อน ("% 0A") ใน URL

ในสถานการณ์สมมตินี้ ISA Server 2006 บล็อกการเข้าถึง URL นอกจากนี้ ล็อก ISA พร็อกซีของเว็บแสดงรหัสผลลัพธ์ของ 12232 สำหรับการร้องขอถูกปฏิเสธ

หมายเหตุ ให้นึกถึง ที่ยังสามารถบันทึกรหัสผลลัพธ์นี้เนื่องจากปัญหาอื่น ๆ ด้าน และ URL ที่ถูกบันทึกไว้จะมีการตรวจทานสำหรับ % 0a หรือ % 0 d อักขระที่ใช้ตรวจสอบว่า ปัญหาที่คุณพบ

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากตัวกรองข้อมูลการรับรองความถูกต้องตามแบบฟอร์มที่บล็อกสคริปต์ข้ามไซต์ทราบและการโจมตีที่เกี่ยวข้อง ในกรณีนี้ ตัวกรองกำลังบล็อกการตอบสนองที่แบ่งการโจมตีที่มีการส่งกลับค่าขนส่งหรือ linefeeds อย่างไรก็ตาม Url ที่ถูกต้องยังสามารถรวมอักขระเหล่านี้ ตัวอย่างเช่น แอพลิเคชัน IBM Rational Clearquest จะทราบว่าการใช้อักขระขึ้นบรรทัดใหม่หรือ linefeeds ใน Url ของ

การแก้ไข

เมื่อต้องการแก้ไขปัญหานี้ ติดตั้งแพคเกจรวบรวมโปรแกรมแก้ไขด่วน ISA Server 2006 ที่อธิบายไว้ในบทความฐานความรู้ของ Microsoft ต่อไปนี้:
2616326 คำอธิบายของแพคเกจโปรแกรมแก้ไขด่วน ISA Server 2006: 2011 กันยายน

ข้อมูลเพิ่มเติม

คำเตือน กระบวนการนี้อาจทำให้คอมพิวเตอร์หรือเครือข่ายมีความเสี่ยงจากการถูกโจมตี โดยผู้ใช้ที่เป็นอันตราย หรือซอฟต์แวร์ที่เป็นอันตรายเช่นไวรัส เราขอแนะนำขั้นตอนนี้ แต่เสนอข้อมูลนี้เพื่อให้คุณสามารถใช้ขั้นตอนนี้ดุลยพินิจของคุณเอง ใช้กระบวนงานนี้อยู่ในความเสี่ยงของคุณเอง

สคริปต์ต่อไปนี้จะปิดใช้งานลักษณะการทำงานเริ่มต้นใน ISA Server 2006 Service Pack 1 และเปิดใช้งานเซิร์ฟเวอร์ ISA เพื่ออนุญาตให้ Url ที่ประกอบด้วยการส่งกลับค่าขนส่ง (CR) หรือ linefeeds (LF) ที่อยู่ในที่อยู่ URL เมื่อต้องการใช้สคริปต์นี้ ให้ทำตามขั้นตอนเหล่านี้

สิ่งสำคัญหมายเหตุ การปิดการใช้งานนี้ทำงานดีฟอลต์ของ ISA Server 2006 SP1 (เพื่อให้เหมาะสมกับโปรแกรมประยุกต์เช่น) อาจยังช่วย ISA Server เพื่อซ่อนเร้นอนุญาต Url ที่ได้รับโดยเฉพาะอย่างยิ่ง crafted สำหรับการโจมตี "ระหว่างไซต์ปลอมร้องขอ" เมื่อ ISA Server ใช้การรับรองความถูกต้องตามแบบฟอร์ม
 1. เริ่มการทำงานของแผ่นจดบันทึก
 2. วางสคริปต์ต่อไปนี้ลงในเอกสารใหม่
  Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
  Const SE_VPS_NAME = "AllowNewlineInURL"
  Const SE_VPS_VALUE = true
   
  Sub SetValue()
   
    ' Create the root object.
    Dim root ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")
   
    'Declare the other objects needed.
    Dim array    ' An FPCArray object
    Dim VendorSets ' An FPCVendorParametersSets collection
    Dim VendorSet  ' An FPCVendorParametersSet object
   
    ' Get references to the array object
    ' and to the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets
   
    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )
   
    If Err.Number <> 0 Then
      Err.Clear
   
      ' Add the item
      Set VendorSet = VendorSets.Add( SE_VPS_GUID )
      CheckError
      WScript.Echo "New VendorSet added... " & VendorSet.Name
   
    Else
      WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
    End If
   
    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
   
      Err.Clear
      VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
   
      If Err.Number <> 0 Then
        CheckError
      Else
        VendorSets.Save false, true
        CheckError
   
        If Err.Number = 0 Then
          WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
        End If
      End If
    Else
      WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If
   
  End Sub
   
  Sub CheckError()
   
    If Err.Number <> 0 Then
      WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
      Err.Clear
    End If
   
  End Sub
   
  SetValue
 3. บนเครื่อง แฟ้ม เมนู คลิก บันทึกเป็นจากนั้น ให้บันทึกแฟ้มเป็น AllowNewlineInURL.vbs.
 4. หน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งต่อไปนี้ จากนั้น กด Enter:
  cscript AllowNewlineInURL.vbs
เมื่อต้องการกลับไปยังลักษณะการทำงานเริ่มต้นใน ISA Server 2006 Service Pack 1 บล็อก Url ที่อาจประกอบด้วยการร้องขอการระหว่างไซต์ปลอมโจมตีเมื่อคุณใช้การรับรองความถูกต้องตามแบบฟอร์ม ให้ทำตามขั้นตอนเหล่านี้:
 1. เริ่มการทำงานของแผ่นจดบันทึก แล้ว เปิดสคริปต์ AllowNewlineInURL.vbs
 2. ค้นหาบรรทัดต่อไปนี้ของรหัสในสคริปต์
  Const SE_VPS_VALUE = true
  
 3. เปลี่ยนรหัสไปยังบรรทัดต่อไปนี้:
  Const SE_VPS_VALUE = false
  
 4. บนเครื่อง แฟ้ม เมนู คลิก บันทึก.
 5. หน้าจอพร้อมรับคำสั่ง พิมพ์คำสั่งต่อไปนี้ จากนั้น กด Enter:
  cscript AllowNewlineInURL.vbs

สถานะ

Microsoft ยืนยันว่า ปัญหานี้เป็นปัญหาที่เกิดขึ้นกับผลิตภัณฑ์ของ Microsoft ที่ระบุไว้ในส่วน"ใช้งาน"

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคำศัพท์เฉพาะการปรับปรุงซอฟต์แวร์ คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
824684 คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายการปรับปรุงซอฟต์แวร์ของไมโครซอฟท์

คุณสมบัติ

หมายเลขบทความ (Article ID): 2622172 - รีวิวครั้งสุดท้าย: 6 ตุลาคม 2554 - Revision: 2.0
ใช้กับ
 • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 เมื่อใช้กับ:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Keywords: 
kbfix kbqfe kbexpertiseadvanced kbsurveynew kbhotfixserver kbhotfixrollup kbmt KB2622172 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2622172

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com