QQ登录 | 联系我们 | 招聘信息 | 支付方式 | 客服问答 | 托管租用须知 | ICP备案 | 返回首页  
 
  [合租服务器] 二十人合租
  [合租服务器] 十人合租
     (百独服务器,独享10M带宽)
  [合租服务器] 二十人合租
     (国外,免备案)
  国内 VPS 服务器
  国外 VPS 服务器
     (国外,免备案)
  服务器下载及IP测试
  常用软件与文档、合同下载
  机房介绍
  什么是合租服务器?
  什么是 VPS 主机?
  为什么会Service Unavailable?
  怎么自定义伪静态规则?
  用户控制面板
  独立控制面板
SQL通用防注入工具:URLScan及我司建议规则
添加时间:2011-09-21  录入:admin
如果没有您要了解的内容,您可以点击本链接在线提交咨询。我们会第一时间答复您!
搜索关键词(回车提交):
URLScan官方下载:http://www.iis.net/download/UrlScan

我司规则下载:
  压缩包:http://www.jiexin.cn/download/urlscan.ini.rar
  自解压包:http://www.jiexin.cn/download/urlscan.ini.exe

下载后解压urlscan.ini到%windir%\system32\inetsrv\urlscan目录,重启IIS生效


相关文章参考:
Quote:
卸载

如果要卸载该文件的话,直接双击该安装程序,点NEXT,再点Remove。

(二)、软件的配置

软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。

1、urlscan配置文件的构造形式

urlscan配置文件必须遵从以下规则:

(1)此文件名必须为urlscan.ini;

(2)配置文件必须和urlscan.dll在同一目录;

(3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;

(4)配置文件修改以后,必须重新启动IIS,使配置生效;

(5)配置文件由以下各节组成:

[Option]节,主要设置节;
[AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
[DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
[DenyHeaders]节,配置认定为非法的header在设立设置;
[AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
[DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;

2、具体配置

(1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置:

UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;

UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;

EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;

AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;

AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”;

NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1;

VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关;

AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;

AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0;

RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;

(2)[AllowVerbs]节配置

如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:

GET、HEAD、POST

(3)[DenyVerbs]节配置

如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:

PROPFIND、PROPPATCH、MKCOL、Delete、PUT、COPY、MOVE、LOCK、UNLOCK

(4)[AllowExtensions]节设置

在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:

.asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip

(5)[DenyExtensions]节设置

在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。

使用 URLScan 限制请求大小
可以使用 URLScan 作为另一道防线,甚至在请求到达 ASP.NET 之前,用来抵御拒绝服务攻击。可以通过对 MaxAllowedContentLength、MaxUrl 和 MaxQueryString 属性设置限制来达到这一目的。

要限制请求的大小,请将下列配置添加到 URLScan.ini 中:

[RequestLimits]
; 此段落中的条目对到达服务器
; 的允许的请求部分的长度进行限制。
;MaxAllowedContentLength=2000000000
;MaxUrl=16384
;MaxQueryString=4096
屏蔽内容头信息(标题)要防止可以暴露您的 Web 服务器的类型和版本的头信息,请找到 URLScan.ini 中的 RemoveServerHeader,并将其值设置为 1,如下所示。RemoveServerHeader=1

如果使用 URLScan,可能会遇到下列问题:• URLScan 阻止 DEBUG 谓词,这会导致应用程序调试无法进行。如果需要支持调试,请将 DEBUG 谓词添加到 URLScan.ini 中的 [AllowVerbs] 段落。 • 您需要重新启动 IIS,以使更改生效。URLScan 是一个 ISAPI 筛选器,在 IIS 进程 (Inetinfo.exe) 内运行,在 IIS 启动时会从 URLScan.ini 加载 URLScan 的选项。可以从命令提示符运行 IISReset 命令来重新启动 IIS。 • 如果请求包含可能有害的字符,那么URLScan 会阻止这样的字符,例如,曾经用来利用漏洞实施攻击的字符,比如,可遍历目录的“.”。建议不要在项目路径中包含“.”字符。如果必须使用该字符,需要在 URLScan.ini 中设置 AllowDotInPath=1。如果您的 Web 应用程序目录的路径中包括点,例如,目录中包含名称“Asp.Net”,则 URLScan 将拒绝该请求,并向该客户端返回一个“404 not found”消息。其他由于将被 URLScan 拒绝而应当避免在项目名称中使用的字符包括逗号 (,) 和磅字符(#)。

------------------------

用了UrlScan不能下载.exe文件的解决方法

windows2000下下载文件正常,但就是不能下载EXE文件,查遍网络都是在IIS服务器属性里找到MIME类型,加.exe类型 application/octet-stream 等常识性的解决方法。按照网上介绍的方法仍然无法下载。最后发现是URLSCAN造成,找到windows\system32\inetsrv\urlscan下面的urlscan.ini文件,将Deny executables that could run on the server下面的.exe注释掉,保存。问题解决。
;Deny executables that could run on the server
.exe
.bat
.cmd
.com
除了调整MIME类型,还可以利用NTFS格式分区的安全权限,去掉相应文件的读取权限,这样用户同样不能下载。

------------------------

用了UrlScan不能下载带有中文文件名的解决方法

AllowHighBitCharacters=1

找到以上的代码所在的位置,把0改为1即可,上面的代码已经改过,默认是0。