工具
URLScan是一個IIS下的ISAPI 篩選器,它能夠限制服務器將要處理的HTTP請求的類型。通過阻止特定的 HTTP 請求,URLScan 篩選器可以阻止可能有害的請求到達服務器並造成危害,urlScan 3.1支持IIS6、IIS7。
URLScan配置文件在 C:\Windows\System32\inetsrv\urlscan
下面是配置文件的說明
UseAllowVerbs=1
; 允許的請求的HTTP類型;
; 如果設置為 1,則[AllowVerbs]生效;
; 如果設置為 0,則[AllowVerbs]生效。
UseAllowExtensions=0
; 允許請求的后綴類型;
; 如果設置為 0,則[DenyExtensions]生效;
; 如果設置為 1,則[AllowExtensions]生效。
NormalizeUrlBeforeScan=1
; 掃描標准化URL之前。
VerifyNormalization=1
; 查證標准化URL。
AllowHighBitCharacters=1
; 如果設置為 1,將允許URL中存在所有字節;
; 如果設置為 0,含有非ASCII字符的URL將拒絕(如UTF8或者MBCS)。
AllowDotInPath=0
; 如果設置為0,則URLScan 拒絕所有包含多個句點 (.) 的請求。
RemoveServerHeader=0
;設置為1可隱藏服務器信息。
EnableLogging=1
; 開啟日志記錄
PerProcessLogging=0
; 如果設置為0,為每個進程創建日志文件。
AllowLateScanning=0
; 如果設置為 0,則 URLScan 作為高優先級篩選器運行。
PerDayLogging=1
; 如果設置為 1,則URLScan每天創建一個新的日志文件。
UseFastPathReject=0
; 如果設置為 1,則 URLScan 忽略 RejectResponseUrl 設置並立即向瀏覽器返回 404 錯誤信息。
; 如果設置為 0,則 URLScan 使用 RejectResponseUrl 設置來返回請求。
LogLongUrls=0
; 這個屬性是UrlScan 3.0及以后的棄用。UrlScan禁止3.0及以后總是包括完整的日志文件的URL。
UnescapeQueryString=1
;如果設置為1,UrlScan將執行兩個傳遞查詢字符串掃描后與原始查詢字符串和一次unescaping
;如果設置為0,UrlScan禁止只會看看原始客戶端發送的查詢字符串
RejectResponseUrl=
; 設置用於返回的Url路徑
AlternateServerName=
; 如果將 RemoveServerHeader設為0,此可自定義服務器關信息。
; 如果將 RemoveServerHeader設為1,則此選項將被忽略。
[AlwaysAllowedUrls]
;
; 這里列出的url將永遠是顯式地允許UrlScan禁止並將繞過所有UrlScan禁止檢查。列出的url必須用“/”字符。例如:
;
; /SampleURL.htm
;
[DenyUrlSequences]
;
; 如果任何字符序列列在這里出現在任何的URL請求,該請求將被拒絕。
;
.. ; 不允許目錄遍歷
./ ; 不允許拖點目錄名稱
\ ; 不允許反斜杠的URL
: ; 不允許交替流的訪問
% ; 不允許正常化后溢出
& ; 不允許多個CGI進程在單個請求中運行
在參數中過濾sql注入的一些關鍵字
[DenyQueryStringSequences]
;
;如果任何字符序列這里列出在查詢字符串中出現任何請求,該請求將被拒絕。
;
下面是一些常用的關鍵字就不一一列舉了
< ; 常用的腳本注入攻擊
> ;
-- ;
delete ;
select ;
注意:設置好這些以后需要重啟一下iis,urlscan才能生效
最近有看到了一個防止注入的軟件
地址 http://www.safedog.cn/install_desc_website.html
說明文檔 http://www.safedog.cn/download/software/safedogwz_Windows_Help.pdf
參考 http://blog.csdn.net/huwei2003/article/details/6259757