URLScan工具配置方法第2/2頁(yè)

2024-07-09 22:40:11

字體：大中小

供稿：網(wǎng)友

本文分步說(shuō)明如何配置 URLScan 工具以防止 Web 服務(wù)器受到攻擊和利用。
默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 作為高優(yōu)先級(jí)篩選器運(yùn)行，這表示它先于服務(wù)器上安裝的所有其他 Internet 服務(wù)器應(yīng)用程序編程接口 (ISAPI) 篩選器執(zhí)行。如果將此選項(xiàng)設(shè)置為 1，則 URLScan 作為低優(yōu)先級(jí)篩選器運(yùn)行，以便其他篩選器可以在 URLScan 進(jìn)行任何分析之前修改 URL。FrontPage Server Extensions (FPSE) 要求將此選項(xiàng)設(shè)置為 1。
? RejectResponseUrl=（默認(rèn)情況下不指定）

此選項(xiàng)指定在 URLScan 禁止請(qǐng)求時(shí)運(yùn)行的文件的虛擬路徑。這允許您自定義針對(duì)被禁止的請(qǐng)求發(fā)送給客戶機(jī)的響應(yīng)。必須將 RejectResponseUrl 指定為相應(yīng)文件的虛擬路徑，如 /Path/To/RejectResponseHandler.asp?？梢灾付?nbsp;URLScan 通常禁止的文件，如 Active Server Pages (ASP) 頁(yè)。還可以從該頁(yè)指定以下服務(wù)器變量： ? HTTP_URLSCAN_STATUS_HEADER：此變量指定請(qǐng)求被禁止的原因。
? HTTP_URLSCAN_ORIGINAL_VERB：此變量指定被禁止的請(qǐng)求中的原始謂詞（例如 GET、POST、HEAD 或 DEBUG）。
? HTTP_URLSCAN_ORIGINAL_URL：此變量指定被禁止的請(qǐng)求中的原始 URL。
如果將 RejectResponseUrl 設(shè)置為特殊值 /~*，則 URLScan 使用“僅日志記錄”模式。這允許 IIS 為所有請(qǐng)求提供服務(wù)，但它會(huì)在 URLScan 日志中為所有通常被禁止的請(qǐng)求添加相應(yīng)的項(xiàng)。這在需要測(cè)試 URLScan.ini 文件時(shí)很有用。

如果沒有指定 RejectResponseUrl 的值，則 URLScan 使用默認(rèn)值 /<Rejected-By-UrlScan>。

? UseFastPathReject=0

默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 1，則 URLScan 忽略 RejectResponseUrl 設(shè)置并立即向?yàn)g覽器返回 404 錯(cuò)誤信息。這比處理 RejectResponseUrl 要快，但它允許的日志記錄選項(xiàng)沒有那么多。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 使用 RejectResponseUrl 設(shè)置來(lái)處理請(qǐng)求。

[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)
[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)定義 URLScan 允許的 HTTP 謂詞（又稱作方法）。常用的 HTTP 謂詞包括 GET、POST、HEAD 和 PUT。其他應(yīng)用程序（如 FPSE 和 Web 分布式創(chuàng)作和版本控制 (WebDAV)）使用更多的謂詞。

[AllowVerbs] 節(jié)和 [DenyVerbs] 節(jié)的語(yǔ)法相同。它們由 HTTP 謂詞列表組成，每個(gè)謂詞占一行。

URLScan 根據(jù) [Options] 節(jié)中 UseAllowVerbs 選項(xiàng)的值來(lái)決定使用哪一節(jié)。默認(rèn)情況下，此選項(xiàng)設(shè)置為 1。如果將 UseAllowVerbs 設(shè)置為 1，則 URLScan 僅允許那些使用 [AllowVerbs] 節(jié)中列出的謂詞的請(qǐng)求。不使用任何這些謂詞的請(qǐng)求將被拒絕。在這種情況下，[DenyVerbs] 節(jié)被忽略。

如果將 UseAllowVerbs 設(shè)置為 0，則 URLScan 拒絕那些使用 [DenyVerbs] 節(jié)中明確列出的謂詞的請(qǐng)求。允許任何使用未在此節(jié)中出現(xiàn)的謂詞的請(qǐng)求。在這種情況下，URLScan 忽略 [AllowVerbs] 節(jié)。

上一篇：為應(yīng)用程序池 'DefaultAppPool' 提供服務(wù)的進(jìn)程意外終止。進(jìn)程 I

下一篇：無(wú)法啟動(dòng).NET Framework NGEN v4.0.30319