■検出理由
Webアプリケーションに入力データを二重にデコードしてしまう不具合がある場合、本来拒否またはサニタイズするべき特殊文字が、そのままの状態でアプリケーションに処理されてしまう可能性があります。
例) %255C -[デコード]-> %5C -[デコード]->'\'(0x5C)
また、一部のWebサーバでは、二重デコードのためにディレクトリトラバーサルや任意のリモートコード実行が可能な脆弱性がありました。(参考：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2001-0333)

このような攻撃を防ぐため、二重にデコード可能なデータが送信されてきた場合に、「Double Decoding Exploit / 二重デコードの攻撃コード」イベントが発生します。


■回避方法
該当イベントのパケットが正常であり、この検出を回避したい場合は、以下の設定を行ってください。

1. [Deep Packet Inspection]→[DPI Rules / DPIルール]→[Web Application Protection]で「1000128 - HTTP Protocol Decoding」 ルールのプロパティを開きます。

2. [Configuration / 設定]タブを選択し、「Block double URI encoding data eg.%255C」のチェックを外します。

3.　「OK」ボタンをクリックします。