URLScan Tool――过滤非法URL访问

最新推荐文章于 2016-08-19 14:09:00 发布
最新推荐文章于 2016-08-19 14:09:00 发布
阅读量2.6k 收藏 1
点赞数
文章标签: url 扩展 iis header 工具 delete

URLScan Tool――过滤非法URL访问
<script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>   仔细观察IIS的漏洞,我们几乎可以得出这样一个结论,所有利用这些漏洞实现对网站攻击的手段均是构造
特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
  1、特别长的URL,比如红色代码攻击网站的URL就是这样:
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
  2、特殊字符或者字符串的URL,比如在URL后面加::$DATA可以看到网页(ASP)源代码;
  3、URL中含有可执行文件名,最常见的就是有cmd.exe;
  既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌
于国门之外的效果,这款工具有以下特点和功能:
  1、基本功能:过滤非法URL请求;
  2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,
当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
  3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
(一)、软件的下载与安装
  URLScan可以在微软的网站上下载,地址如下:
download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe
  和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在
System32/InetSvr/URLScan目录下找到以下文件:
  urlscan.dll:动态连接库文件;
  urlscan.inf:安装信息文件;
  urlscan.txt:软件说明文件;
  urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。
(二)、软件的配置
  软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。
 1、urlscan配置文件的构造形式
  urlscan配置文件必须遵从以下规则:
  (1)此文件名必须为urlscan.ini;
  (2)配置文件必须和urlscan.dll在同一目录;
  (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成;
  (4)配置文件修改以后,必须重新启动IIS,使配置生效;
  (5)配置文件由以下各节组成:
  [Option]节,主要设置节;
  [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关;
  [DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关;
  [DenyHeaders]节,配置认定为非法的header在设立设置;
  [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关;
  [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关;
  2、具体配置
  (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节
主要进行以下属性的设置:
  UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒
绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1;
  UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求

;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0;
  EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤;
  AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0;
  AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这
里设置的服务器名代替默认的“Server”;
  NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测,.需要提醒的是,只有管理员对

URL解析非常熟悉的情况下才可以将其设置为0;默认为1;
  VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与
NormalizeUrlBeforeScan有关;
  AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1;
  AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能

保证,默认为0;
  RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0;
  (2)[AllowVerbs]节配置
  如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求:
  GET、HEAD、POST
  (3)[DenyVerbs]节配置
  如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求:
  PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK
  (4)[AllowExtensions]节设置
  在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求:
  .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip
  (5)[DenyExtensions]节设置
  在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置:
.asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。

  <script type="text/javascript"> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
jackyren007
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用URLScan工具过滤URL中的特殊字符(仅针对IIS6)
godlessmerar的专栏
09-21 4876
客户公司搞安全检查,扫描出来我们之前做的系统有一个高危漏洞:IIS tilde directory enumeration,也就是利用“~”字符猜解暴露短文件/文件夹名,比如,采用这种方式构造URL:http://aaa.com/abc~1/.aspx,根据IIS返回的错误信息,猜测该路径或文件是否存在,具体可参考这篇文章:http://www.freebuf.com/articles/4908.
UrlScan3.1_X86_X64工具及使用文档
04-08
任何一种使用数据库web程序(当然,也包括桌面程序)都有被SQL注入的风险。防止被SQL注入,最基本的方法是在代码级别就要阻止这种可能,这个网上讲的很多,我就不多说了。不过如果你拿到的是一个已经完工的产品,这个时候该如何解决呢?我介绍几种对于ASP和ASP.NET有效的防止SQL注入的方案,而且是免费的。
配置 URLScan 工具
weixin_33804990的博客
03-30 288
修改 URLScan.ini 文件URLScan 的所有配置都是通过 URLScan.ini 文件执行的,此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan,请在文本编辑器(如记事本)中打开此文件,进行相应的更改,然后保存此文件。注意:要使更改生效,必须重新启动 Internet 信息服务 (IIS)。一种快速的实...
用微软安全工具加固网站安全 (URLScan Tool & IIS Lock Tool)
weixin_30500289的博客
10-08 216
微软在2001年8月23日推出了一款傻瓜式的IIS安全设置工具IIS Lock Tool;同时,在尼姆达病毒传播以前的几天(2001年9月11日),微软推出了一款过滤网站访问不合法请求的工具URL Scan。这两款工具均是针对IIS的漏洞设计的,系统管理员使用以上两款工具,可以有效设置IIS安全属性,避免被类似红色代码病毒和一些黑客的攻击。 一:IIS Lock Tool,快速设置I...
[1]禁用TRACE或TRACK方法,IIS可使用URLScan禁用
weixin_34008805的博客
08-19 855
下载http://www.iis.net/downloads/microsoft/urlscan http://blog.csdn.net/leejin_521/article/details/42772589 http://www.cnblogs.com/stragon/archive/2014/04/25/3689899.html 转载于:https://www.cnblogs.co...
自己写的一个url过滤
05-06
自己写的一个url过滤器,里面包含了过滤,监听,配置文件的读取技术。
URLScan Tool
weixin_33843947的博客
03-13 81
URLScan Tool――过滤非法URL访问   仔细观察IIS的漏洞,我们几乎可以得出这样一个结论,所有利用这些漏洞实现对网站***的手段均是构造 特殊的URL访问网站,一般有以下几种类型的URL可以利用漏洞:   1、特别长的URL,比如红色代码***网站的URL就是这样: GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX...
UrlScan3.1 版本 32位和64位系统双安装包
06-20
1. **URL过滤**:UrlScan允许管理员自定义规则,控制哪些URL可以被服务器处理,哪些将被拒绝。规则基于URL路径、查询字符串、HTTP方法等参数,提供了一种预防性安全措施。 2. **HTTP方法限制**:默认情况下,...
urlscan.ini中文详解注释
09-30
利用微软官方发布的UrlScan2.5可以杜绝黑客把你的服务器当木马源!我修改了一些参数目前可以正常运行在所有Windows服务器上
urlscan-v31-x64.rar
09-17
若提示IIS Metabase is required to install Microsoft UrlScan Filter v3.1的话,打开控制面板,把IIS6组件补全
URLScan工具配置方法第1/2页
09-30
本文分步说明如何配置 URLScan 工具以防止 Web 服务器受到攻击和利用。
urlscan_v31_x64.zip
07-15
去除IIS Server: Microsoft-IIS/7.5 头,下载解压安装,安装完成后,在系统的整个目录下可以找到C:\Windows\System32\inetsrv\urlscan 修改配置文件UrlScan.ini, 把RemoveServerHeader=1 ; 若为1,则移除IIS的server标头(默认为0) 修改完重启IIS就能看到效果了
urlscan_v31_x86_x64.zip
07-22
一.修改Server: 1.安装UrlScan(放这个是微软官方出的东西),(注意系统是32位(x86),还是64位(x64)) ,注意iis7.5 要安装iis6的那个扩展 修改 URLScan.ini 文件 URLScan 的所有配置都是通过 URLScan.ini 文件执行的,此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan,请在文本编辑器(如记事本)中打开此文件,进行相应的更改,然后保存此文件。 把RemoveServerHeader=1 ; 若为1,则移除IIS的server标头 保存,打开页页就看不到Server这个请求头信息了 二.修改X-Powered-By 打开IIS,点一个站点,再点HTTP响应标头.双击你要修改的如“X-Powered-By”双击,修改成你想要的数据,也可以直接删除。 三. 修改X-AspNet-Version 在站点的web.config文件下的结点下添加
UrlScan_v31x86.rar
07-03
3.1是一种安全工具,可以限制IIS将处理的HTTP请求的类型。通过阻止特定的HTTP请求,UrlScan 3.1安全工具有助于防止可能有害的请求到达服务器上的应用程序。UrlScan 3.1是对UrlScan 2.5的更新,支持Windows Vista和Windows Server 2008上的IIS 5.1,IIS 6.0和IIS 7.0。
UrlScan两种版本.7z
08-18
2. **防止路径遍历攻击**:通过限制URL路径,防止攻击者尝试访问服务器的非公开目录。 3. **定制错误页面**:可以设置自定义的错误页面,以提供更友好的用户体验,同时隐藏服务器内部信息。 4. **日志记录**:...
UrlScan3.1
02-09
UrlScan的3.1是一个安全的工具,限制了IIS的HTTP请求将处理类型。 通过阻止特定的HTTP请求,在URLScan 3.1安全工具有助于防止对服务器应用程序可能有害的请求。 UrlScan的3.1是URLScan 2.5的更新版本。支持IIS 5.1中,IIS 6.0和IIS 7.0在Windows Vista和Windows Server 2008
urlscan_v31_x86.msi
01-08
国内网站被挂马的常见原因是SQL注入攻击。那么,除了在Web开发的时候注意以外,有什么有效的工具可以对抗SQL注入攻击? 今天,微软和惠普的安全部门合作发布了三个工具,分别是: 微软SQL注入攻击源码扫描器:Microsoft Source Code Analyzer for SQL Injection (MSCASI)。这个工具给网站开发人员使用。是一个静态扫描ASP代码的工具,可以查找发现第一类和第二类的SQL注入攻击漏洞。工具下载地址: http://support.microsoft.com/kb/954476 惠普的 Scrawlr工具。这个工具可以被网站的维护人员使用,是一个黑箱扫描工具,不需要源代码。指定起始URL开始扫描。缺点是不能准确定位代码的漏洞(因为是黑箱测试)。工具下载地址: http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx 微软的URLScan 3.0 Beta。这个工具可以被网站的维护人员使用。它是一个输入过滤工具。如果你发现网站被SQL注入工具,你可以在一边修补代码漏洞的同时,使用这个攻击在过滤掉恶意的输入。当然,修补代码中的漏洞是完全避免SQL注入攻击的真正解决方案。工具下载地址: http://blogs.iis.net/wadeh/archive/2008/06/05/urlscan-v3-0-beta-release.aspx SWI的博客上有更进一步的描述。http://blogs.technet.com/swi/archive/2008/06/24/new-tools-to-block-and-eradicate-sql-injection.aspx 那么,这三个工具是如何配合使用的?下面给出一个例子。 步骤一:网站的维护人员使用Scrawlr扫描网站,检查是否存在SQL注入漏洞 步骤二:发现存在漏洞后,通知开发人员。开发人员使用MSCASI对ASP源码静态扫描来确定代码中什么地方导致的SQL注入攻击漏洞。 步骤三:在开发人员修补漏洞的同时,维护人员可以使用URLScan来过滤可能的恶意输入,以确保网站的安全。 这三个工具的配合使用可以很大程度上减少网站被挂马的可能。说实话,现在被挂马的网站实在是太多了! 以上三个工具均可以在我上传的资源中找到!! 微软下载页面有时还真难下下来!!
urlscan x64 3.1下载
最新发布
10-02
要下载urlscan x64 3.1,首先需要找到可靠的下载来源。可以在搜索引擎上输入关键词"urlscan x64 3.1下载",然后查看搜索结果。在搜索结果中,我们要选择可信赖的官方网站或权威软件下载平台,以确保下载的软件是最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值