urlscan使用详解(中文解).docx

urlscan使用详解（中文讲解）2009-04-01 14:59（一）、软件的下载与安装URLScan可以在微软的网站上下载，地址如下：.URLScan微软下载和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在System32/InetSvr/URLScan目录下找到以下文件：urlscan.dll：动态连接库文件；urlscan.inf：安装信息文件；urlscan.txt：软件说明文件；urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。（二）、软件的配置软件的配置由urlscan.ini文件来完成，在配置此文件以前，我们需要了解一些基本知识。、urlscan配置文件的构造形式urlscan配置文件必须遵从以下规则：（1）此文件名必须为urlscan.ini；（2）配置文件必须和urlscan.dll在同一目录；（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；（4）配置文件修改以后，必须重新启动IIS，使配置生效；（5）配置文件由以下各节组成：Option节，主要设置节；AllowVerbs节，配置认定为合法URL规则设定，此设定与Option节有关；DenyVerbs节，配置认定为非法URL规则设定，此设定与Option节有关；DenyHeaders节，配置认定为非法的header在设立设置；AllowExtensions节，配置认定为合法的文件扩展名在这里设置，此设定与Option节有关；DenyExtensions节，配置认定为非法的文件扩展名在这里设置，此设定与Option节有关；、具体配置（1）Option节的配置，因为Option节的设置直接影响到以后的配置，因此，这一节的设置特别重要。此节主要进行以下属性的设置：UseAllowVerbs：使用允许模式检查URL请求，如果设置为1,所有没有在AllowVerbs节设置的请求都被拒绝；如果设置为0，所有没有在DenyVerbs设置的URL请求都认为合法；默认为1;UseAllowExtensions：使用允许模式检测文件扩展名；如果设置为 1,所有没在AllowExtensions节设置的文件扩展名均认为是非法请求；如果设置为0,所有没在DenyExtensions节设置的扩展名均被认为是合法请求；默认为0;EnableLogging：是否允许使用Log文件，如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤；AllowLateScanning：允许其他URL过滤在URLScan过滤之前进行，系统默认为不允许0;AlternateServerName：使用服务名代替；如果此节存在而且RemoveServerHeader节设置为0,IIS将在这里设置的服务器名代替默认的“Server”；NormalizeUrlBeforeScan：在检测URL之前规格化URL；如果为1，URLScan将在IIS编码URL之前URL进行检测；需要提醒的是，只有管理员对URL解析非常熟悉的情况下才可以将其设置为0；默认为1；VerifyNormalization：如果设置为1，UrlScan将校验URL规则，默认为1；此节设定与NormalizeUrlBeforeScan有关；AllowHighBitCharacters：如果设置为1,将允许URL中存在所有字节，如果为0，含有非ASCII字符的URL将拒绝；默认为1；AllowDotInPath：如果设置为1，将拒绝所有含有多个“.”的URL请求，由于URL检测在IIS解析URL之前，所以，对这一检测的准确性不能保证，默认为0；RemoveServerHeader：如果设置为1，将把所有应答的服务头清除，默认为0;（2）AllowVerbs节配置如果UseAllowVerbs设置为1,此节设置的所有请求将被允许，一般设置以下请求：GET、HEAD、POST（3）DenyVerbs节配置如果UseAllowVerbs设置为0，此节设置的所有请求将拒绝，一般设置以下请求：PROPFIND、PROPPATCH、MKCOL、Delete、PUT、COPY、MOVE、LOCK、UNLOCK（4）AllowExtensions节设置在这一节设置的所有扩展名文件将被允许请求，一般设置以下请求：.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，如果需要提供文件下载服务，需要增加.rar、.zip（5）DenyExtensions节设置在这一节设置的所有扩展名文件请求将被拒绝，根据已经发现的漏洞，我们可以在这一节增加内容，一般为以下设置：.asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等。 具体设置，应当视具体应用情况而定，否则会造成应用服务无法运行。譬如禁掉shtml，某些仿新浪的文章系统就无法运行了。另安上ASP.NET 2.0，然后数据库扩展名改成MDB，就不用怕被下载了微软官方说明修改 URLScan.ini 文件URLScan 的所有配置都是通过 URLScan.ini 文件执行的，此文件位于 %WINDIR%System32InetsrvURLscan 文件夹中。要配置 URLScan，请在文本编辑器（如记事本）中打开此文件，进行相应的更改，然后保存此文件。注意：要使更改生效，必须重新启动 Internet 信息服务 (IIS)。一种快速的实现方法是在命令提示符处运行 IISRESET。 URLScan.ini 文件包含以下几节： Options：此节描述常规 URLScan 选项。AllowVerbs 和 DenyVerbs：此节定义 URLScan 允许的谓词（又称作 HTTP 方法）。DenyHeaders：此节列出 HTTP 请求中不允许的 HTTP 标头。如果 HTTP 请求中包含此节中列出的 HTTP 标头之一，URLScan 将拒绝该请求。AllowExtensions 和 DenyExtensions：此节定义 URLScan 允许的文件扩展名。DenyURLSequences：此节列出 HTTP 请求中不允许的字符串。URLScan 拒绝那些包含此节中出现的字符串的 HTTP 请求。本文将更详细地介绍每一节。Options 节在 Options 节中，可以配置许多 URLScan 选项。此节中的每一行都具有以下格式： OptionName=OptionValue可用选项及其默认值如下所示： UseAllowVerbs=1默认情况下，此选项设置为 1。如果将此选项设置为 1，则 URLScan 仅允许那些使用 AllowVerbs 节中列出的谓词的 HTTP 请求。URLScan 禁止任何不使用这些谓词的请求。如果将此选项设置为 0，则 URLScan 忽略 AllowVerbs 节，相反仅禁止那些使用 DenyVerbs 节中列出的谓词的请求。UseAllowExtensions=0默认情况下，此选项设置为 0。如果将此选项设置为 0，则 URLScan 禁止对 DenyExtensions 节中列出的文件扩展名的请求，但允许对任何其他文件扩展名的请求。如果将此选项设置为 1，则 URLScan 仅允许对带 AllowExtensions 节中列出的扩展名的文件的请求，而禁止对任何其他文件的请求。NormalizeUrlBeforeScan=1IIS 收到用 URL 编码的请求。这表示某些字符可能被替换为百分号 (%) 后跟特定的数字。例如，%20 对应于一个空格，因此，对 http:/myserver/My%20Dir/My%20File.htm 的请求与对 http:/myserver/My Dir/My File.htm 的请求是相同的。标准化就是对 URL 编码请求进行解码的过程。默认情况下，此选项设置为 1。如果将 NormalizeUrlBeforeScan 选项设置为 1，则 URLScan 分析已解码的请求。如果将此选项设置为 0，则 URLScan 分析未解码的请求。将此选项设置为 0 会影响 URLScan 禁止某种攻击的能力。VerifyNormalization=1由于百分号 (%) 本身可以是 URL 编码的，所以攻击者可以向服务器提交一个精心制作的、基本上是双重编码的请求。如果发生这种情况，IIS 可能会接受本应视作无效而拒绝的请求。默认情况下，此选项设置为 1。如果将 VerifyNormalization 选项设置为 1，则 URLScan 将对 URL 执行两次标准化。如果第一次标准化后的 URL 与第二次标准化后的 URL 不同，URLScan 将拒绝该请求。这样就可以防止那些依赖双重编码请求的攻击。AllowHighBitCharacters=0默认情况下，此选项设置为 0。如果将此选项设置为 0，则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击，但同时可能也会禁止对某些合法文件的请求，如带有非英文名的文件。AllowDotInPath=0默认情况下，此选项设置为 0。如果将此选项设置为 0，则 URLScan 拒绝所有包含多个句点 (.) 的请求。这样可以防止通过将安全的文件扩展名放入 URL 的路径信息或查询字符串部分，以达到伪装请求中的危险文件扩展名的企图。例如，如果将此选项设置为 1，则 URLScan 可能允许对 http:/servername/BadFile.exe/SafeFile.htm 的请求，因为它认为这是对 HTML 页的请求，但实际上这是一个对可执行 (.exe) 文件的请求，而该文件的名称在 PATH_INFO 区域中显示为 HTML 页的名称。如果将此选项设置为 0，URLScan 可能还会拒绝对包含句点的目录的请求。RemoveServerHeader=0默认情况下，Web 服务器返回一个标头，其中指出了 Web 服务器在所有响应中运行的 Web 服务器软件。这会增加服务器遭受攻击的可能性，因为攻击者可以确定服务器正在运行 IIS，于是便攻击已知的 IIS 问题，而不是试图使用为其他 Web 服务器设计的攻击手段来攻击 IIS 服务器。默认情况下，此选项设置为 0。如果将 RemoveServerHeader 选项设置为 1，可以防止您的服务器发送将其标识为 IIS 服务器的标头。如果将 RemoveServerHeader 设置为 0，则仍发送此标头。AlternateServerName=（默认情况下不指定）如果将 RemoveServerHeader 设置为 0，可以在 AlternateServerName 选项中指定一个字符串以指定将在服务器标头中传回的内容。如果将 RemoveServerHeader 设置为 1，则此选项将被忽略。EnableLogging=1默认情况下，URLScan 在 %WINDIR%System32InetsrvURLScan 中保留所有被禁止的请求的完整日志。如果不希望保留此日志，可将 EnableLogging 设置为 0。PerProcessLogging=0默认情况下，此选项设置为 0。如果将此选项设置为 1，URLScan 将为承载 URLScan.dll 的每个进程创建一个单独的日志。如果将此选项设置为 0，所有进程将记录到同一个文件中。PerDayLogging=1默认情况下，此选项设置为 1。如果将该值设置为 1，则 URLScan 每天创建一个新的日志文件。每个日志文件的名称都是 Urlscan.MMDDYY.log，其中 MMDDYY 是日志文件的日期。如果将该值设置为 0，则所有日志记录都保存在同一个文件中，与日期无关。AllowLateScanning=0默认情况下，此选项设置为 0。如果将此选项设置为 0，则 URLScan 作为高优先级筛选器运行，这表示它先于服务器上安装的所有其他 Internet 服务器应用程序编程接口 (ISAPI) 筛选器执行。如果将此选项设置为 1，则 URLScan 作为低优先级筛选器运行，以便其他筛选器可以在 URLScan 进行任何分析之前修改 URL。FrontPage Server Extensions (FPSE) 要求将此选项设置为 1。RejectResponseUrl=（默认情况下不指定）此选项指定在 URLScan 禁止请求时运行的文件的虚拟路径。这允许您自定义针对被禁止的请求发送给客户机的响应。必须将 RejectResponseUrl 指定为相应文件的虚拟路径，如 /Path/To/RejectResponseHandler.asp。可以指定 URLScan 通常禁止的文件，如 Active Server Pages (ASP) 页。还可以从该页指定以下服务器变量： HTTP_URLSCAN_STATUS_HEADER：此变量指定请求被禁止的原因。HTTP_URLSCAN_ORIGINAL_VERB：此变量指定被禁止的请求中的原始谓词（例如 GET、POST、HEAD 或 DEBUG）。HTTP_URLSCAN_ORIGINAL_URL：此变量指定被禁止的请求中的原始 URL。如果将 RejectResponseUrl 设置为特殊值 /*，则 URLScan 使用“仅日志记录”模式。这允许 IIS 为所有请求提供服务，但它会在 URLScan 日志中为所有通常被禁止的请求添加相应的项。这在需要测试 URLScan.ini 文件时很有用。如果没有指定 RejectResponseUrl 的值，则 URLScan 使用默认值 /。UseFastPathReject=0默认情况下，此选项设置为 0。如果将此选项设置为 1，则 URLScan 忽略 RejectResponseUrl 设置并立即向浏览器返回 404 错误信息。这比处理 RejectResponseUrl 要快，但它允许的日志记录选项没有那么多。如果将此选项设置为 0，则 URLScan 使用 RejectResponseUrl 设置来处理请求。AllowVerbs 节和 DenyVerbs 节AllowVerbs 节和 DenyVerbs 节定义 URLScan 允许的 HTTP 谓词（又称作方法）。常用的 HTTP 谓词包括 GET、POST、HEAD 和 PUT。其他应用程序（如 FPSE 和 Web 分布式创作和版本控制 (WebDAV)）使用更多的谓词。AllowVerbs 节和 DenyVerbs 节的语法相同。它们由 HTTP 谓词列表组成，每个谓词占一行。URLScan 根据 Options 节中 UseAllowVerbs 选项的值来决定使用哪一节。默认情况下，此选项设置为 1。如果将 UseAllowVerbs 设置为 1，则 URLScan 仅允许那些使用 AllowVerbs 节中列出的谓词的请求。不使用任何这些谓词的请求将被拒绝。在这种情况下，DenyVerbs 节被忽略。如果将 UseAllowVerbs 设置为 0，则 URLScan 拒绝那些使用 DenyVerbs 节中明确列出的谓词的请求。允许任何使用未在此节中出现的谓词的请求。在这种情况下，URLScan 忽略 AllowVerbs 节。DenyHeaders 节当客户机向 Web 服务器请求页面时，它通常会发送一些包含有关此请求的其他信息的 HTTP 标头。常见的 HTTP 标头包括： Host:此标头包含 Web 服务器的名称。Accept:此标头定义客户机可以处理的文件类型。User-Agent:此标头包含请求页面的浏览器的名称。Authorization:此标头定义客户机支持的身份验证方法。客户机可能会向服务器发送其他标头以指定其他信息。在 DenyHeaders 节中，您定义 URLScan 将拒绝的 HTTP 标头。如果 URLScan 收到的请求中包含此节中列出的任何标头，它将拒绝该请求。此节由 HTTP 标头列表组成，每个标头占一行。标头名后面必须跟一个冒号 (:)（例如 Header-Name:）。AllowExtensions 节和 DenyExtensions 节大多数文件都有一个标识其文件类型的文件扩展名。例如，Word 文档的文件名一般以 .doc 结束，HTML 文件名一般以 .htm 或 .html 结束，纯文本文件名一般以 .txt 结束。AllowExtensions 节和 DenyExtensions 节允许您定义 URLScan 将禁止的扩展名。例如，您可以配置 URLScan 以拒绝对 .exe 文件的请求，防止 Web 用户在您的系统上执行应用程序。AllowExtensions 节和 DenyExtensions 节的语法相同。它们由文件扩展名列表组成，每个扩展名占一行。扩展名以句点 (.) 开头（例如 .ext）。URLScan 根据 Options 节中 UseAllowExtensions 的值来决定使用哪一节。默认情况下，此选项设置为 0。如果将 UseAllowExtensions 设置为 0，则 URLScan 仅拒