首页 > 网络安全 > UrlScan配置 IIS 的安全

UrlScan配置 IIS 的安全

2009年8月8日 发表评论 阅读评论

URLScan 是一个可供网站管理员使用的加载项工具。管理员可以控制 URLScan 的操作并限制服务器处理的 HTTP 请求的类型。
默认安装 UrlScan 会,会禁用 Web 服务扩展 – Active Server Pages,当手工启用时,也不可用,在UrlScan的配置文件中 UrlScan.ini 默认的选项也会禁止使用一些扩展(让我调试了好半天,以为UrlScan 和 asp ISAPI 有冲突),以下为默认禁止扩展选项:

; Deny ASP requests<br />.asp<br />.cer<br />.cdx<br />.asa

这样一般会禁止掉某些 cer,asa 之类未过滤的上传漏洞。
还有一些选项可以禁止掉 TRACE 请求,RemoveServerHeader 选项可以删除请求包中的IIS版本信息(Server: Microsoft-IIS/6.0
),以及IIS 目录解析漏洞:http://www.woyigui.cn/test.asp/1.txt 该请求会被阻止。

Link:
下载UrlScan: http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe
               下载完后用: iislockd.exe /q /c     命令提取 UrlScan 安装程序。
如何使用 URLScan  http://msdn.microsoft.com/zh-cn/library/aa302368.aspx
如何配置 URLScan 工具: http://support.microsoft.com/kb/326444/zh-cn
对 IIS 使用 URLScan: http://support.microsoft.com/default.aspx?scid=307608

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:UrlScan配置 IIS 的安全
本文地址:http://www.woyigui.cn/2009/08/08/UrlScan/

分类: 网络安全 标签:
  1. 2009年10月24日15:52 | #1

    MS 这东西没啥用。

    [回复]

  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*