利用URLScan工具过滤URL中的特殊字符(仅针对IIS6)

最新推荐文章于 2024-05-17 09:56:43 发布
原创 最新推荐文章于 2024-05-17 09:56:43 发布 · 5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iis #url #工具 #微软 #windows #system

文章介绍了如何使用微软的URLScan工具解决IIS6系统中的一个高危漏洞——IIS tilde directory enumeration。通过安装并配置URLScan工具,特别是修改UrlScan.ini文件中的[DenyUrlSequences]节来过滤“~”字符,以防止URL猜解攻击。同时提到了IIS7及更高版本已内置类似功能,以及在URL包含中文字符时的设置调整。

    客户公司搞安全检查,扫描出来我们之前做的系统有一个高危漏洞:IIS tilde directory enumeration,也就是利用“~”字符猜解暴露短文件/文件夹名,比如,采用这种方式构造URL:http://aaa.com/abc~1/.aspx,根据IIS返回的错误信息,猜测该路径或文件是否存在,具体可参考这篇文章:http://www.freebuf.com/articles/4908.html

    就单纯的解决这个问题来说,微软的URLScan工具是最适合的一个轻量级工具,关键它是免费的,而且安装、配置非常简单。可以从这里下载:http://down.tech.sina.com.cn/page/41877.html

    安装过程就不说了,傻瓜式的。

    安装完毕之后,在需要做URL过滤的站点的属性中,添加一个ISAPI筛选器,dll路径位于:C:\WINDOWS\system32\inetsrv\urlscan。该目录下还有一个配置文件:UrlScan.ini,微软的这篇文章里讲的比较详细了:http://support.microsoft.com/kb/326444/zh-cn

 

最低0.47元/天 解锁文章
godlessmerar
关注
asp中常用的字符串安全处理函数集合(过滤特殊字符)
10-28
在asp编写中,我们需要注意特殊字符串的处理,防止被黑客利用。使用asp的朋友一定要参考下。
iis关键字拦截过滤IISKeywordsFilter
09-15
iis关键字拦截过滤IISKeywordsFilter iis关键字拦截过滤IISKeywordsFilter
vue中去掉url地址栏中的#符号
weixin_30457065的博客
05-29 353
要去掉vue中访问地址中的#符号可以在路由器中设置路由模式为history: export default new Router({ mode:'history', routes: [ { path: '/', name: 'Home', component: Home }, { path: '/ne...
过滤url 里参数
hjx_dou的专栏
11-24 1419
过滤url 里参数
权限控制--自定义filter过滤URL
lei273834的博客
08-28 4639
**自定义filter过滤URL中 startsWith(String prefix)与endsWith(String suffix)的运用** 属于Java.lang.String类的方法 startsWith(String prefix) 测试此字符串是否以指定的前缀开始。 返回值:如果由参数表示的字符序列是由字符串表示的字符序列的前缀,则为true,否则为false。注意,...
IIS7.5 UrlScan3.1应用防火墙安装配置方法
09-30
1. 首先,检查并安装IIS6元数据兼容性功能,这是因为IIS7.5为了保持与早期版本的兼容性,可能需要该组件。官方下载地址为 ***。 2. 下载并安装URLScan3.1。这通常涉及运行下载的安装包并遵循安装向导的指示。 3. ...
URLScan工具配置方法第1/2页
09-30
URLScan是一款由微软提供的免费安全工具,用于增强IIS(Internet Information Services)服务器的安全性。它通过分析进入服务器的HTTP请求,并根据一系列规则决定是否允许这些请求访问服务器上的资源。配置URLScan...
UrlScan 3.1 x86安全工具:限制IIS HTTP请求处理
这意味着它不适用于传统的IIS 6环境(典型于Windows Server 2003),还能够部署在新一代基于Windows NT 6.0内核的操作系统中,体现了其良好的向后兼容性和对新兴操作系统的适配能力。 UrlScan的工作原理是作为一...
安全漏洞工具 urlscan-v31-x64位.zip
02-10
"Urlscan"是一个小巧而强大的IIS(Internet Information Services)过滤器,它有助于提升Web服务器的安全性,防止恶意攻击者利用已知或未知的漏洞对服务器进行攻击。 描述中提到,urlscan_v31_x64位主要用于修复...
URL中的特殊字符
12-11 1971
URL中的特殊字符 Posted on Tuesday, October 18, 2005 9:40 PM<!--<rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"xmlns:dc="http://purl.org/dc/elements/1.1/"xmlns:trackback="http://
urlscan_v31_x64.msi
04-02
去除IIS Server: Microsoft-IIS/7.5 头,下载解压安装,安装完成后,在系统的整个目录下可以找到C:\Windows\System32\inetsrv\urlscan 修改配置文件UrlScan.ini, 把RemoveServerHeader=1 ; 若为1,则移除IIS的server标头(默认为0) 修改完重启IIS就能看到效果了
urlscan-v3.1 解决漏洞iis版本泄露问题
最新发布
11-18
urlscan-v3.1 解决漏洞iis版本泄露问题
微软SQL Injection攻击检测工具 URLScan 3.0
07-07
工具会让 IIS 限制某些类型的 HTTP 请求,通过对特定 HTTP 请求进行限制,可以防止某些有害的请求在服务器端执行。UrlScan 通过一系列关键词发现恶意请求,并阻止恶意请求的执行
如何配置 URLScan 工具
08-12
• 概要 o 安装 URLScan o 修改 URLScan.ini 文件  [Options] 节  [AllowVerbs] 节和 [DenyVerbs] 节  [DenyHeaders] 节  [AllowExtensions] 节和 [DenyExtensions] 节  [DenyUrlSequences] 节 o 配置 URLScan 用于依赖于 IIS 的应用程序 概要 本文分步说明如何配置 URLScan 工具以防止 Web 服务器受到攻击和利用。 安装 URLScan 要安装 URLScan,请访问下面的 Microsoft Developer Network (MSDN) 网站:
UrlScan3.1_X86_X64工具及使用文档
11-29
UrlScan3.1_X86_X64工具及使用文档 任何一种使用数据库web程序(当然,也包括桌面程序)都有被SQL注入的风险。防止被SQL注入,最基本的方法是在代码级别就要阻止这种可能,这个网上讲的很多,我就不多说了。不过如果你拿到的是一个已经完工的产品,这个时候该如何解决呢?我介绍几种对于ASP和ASP.NET有效的防止SQL注入的方案,而且是免费的。
URL中特殊符号的处理
weixin_30653097的博客
08-17 405
问题描述 我们在对接第三方系统的时候通常需要get或post来传输数据,但此时如果参数中存在&% #*!包括空格等特殊符号的时候就无法正常请求具体表现在参数获取不正确或者获取不到参数,甚至有时候会直接截断发送的请求。 解决方法 特殊字符url中不能正常传输我们首先肯定是考虑对其进行URL编码,不同语言url编码封装的方法可能有所不同,因为我这里是使用c# ...
探索链接检测的利器:Url Detector
gitblog_00031的博客
05-17 700
探索链接检测的利器:Url Detector 在信息爆炸的时代,URL(统一资源定位符)无处不在,从电子邮件到社交媒体,再到网页内容,它们是互联网的命脉。而有效地检测和提取URL变得至关重要,尤其是在涉及安全和数据处理的应用中。为此,LinkedIn的安全团队创建了一个名为Url Detector的库,致力于帮助开发者快速准确地识别文本中的URL。 1、项目介绍 Url Detector是一个强大...
解决URL路径包含中文以及特殊符号
楠之枫雪的博客
03-02 4536
浏览器中不能直接传递中文以及一些特殊符号,一般转unicode编码,对于一些特殊符号,编码的格式为:%加字符的ASCII码,即一个百分号%,后面跟对应字符的ASCII(16进制)码值。例如 空格的编码值是"%20"。 /** * 将url里面的中文路径转为utf-8编码 2015年12月29日下午4:35:33 * * @param urlpath * @return
iis 支持url 特殊字符_URL重写
weixin_39980711的博客
12-01 1069
(图片来自:https://github.com/Bikeman868/UrlRewrite.Net)1.Microsoft RewriteUsing Rewrite Maps in URL Rewrite ModuleIn this walkthrough you will create two rewrite maps: one rewrite map will be used by...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值