問題タブ [urlscan]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
urlscan - URLスキャンの質問
Win2003 サーバーに uriscan をインストールしましたが、古い ColdFusion スクリプトをブロックしています。ログエントリには次のものがあります--
2008-09-19 00:16:57 66.82.162.13 1416208729 GET /Admin/Uploads/Mountain/Wolf%2520Creek%2520gazeebo.jpg 拒否された URL+is+double+エスケープされた URL - -
ダブルエスケープURL機能をオフにせずに、このような送信を許可するようにuriscanを取得するにはどうすればよいですか?
iis - Urlscan 3.1 ブロック ユーザー エージェント
IIS ログを調べた後に特定された、特定のユーザー エージェントから SharePoint 環境への要求をブロックする必要があります。
urlscan.ini 構成ファイルを修正し、iisreset を実行して以下を試しましたが、何もブロックされません。
正しい文字列を入力していますか? iis ログからユーザー エージェント文字列をコピーしています
security - URLScan とパーセント記号
そのため、ユーザーがパーセント記号を含むファイルをダウンロードできないというばかげた問題に遭遇しました。これは IIS6/Win2k3 ボックスです。最終的には URLScan になりました。urlscan.ini で 2 つの設定を解除する必要がありました。
1) VerifyNormalization を 0 (無効) に設定します
2) 「DenyUrlSequences」セクションからパーセント記号を削除します
iisreset を実行すると、問題が解決します。しかし、大きな問題は、これがどの程度のセキュリティ リスクになるのかということです。
iis - URLScanで空のユーザーエージェントをブロックする
特定のユーザーエージェントをブロックすることはできますが、URLscan v3.1を使用して、空のユーザーエージェントですべてのリクエストをブロックしたいと思います。
誰かがこれを行う方法を知っていますか?
iis - urlscan.iniを更新するにはiisresetが必要ですか?
urlscan.iniファイルを更新するときにiisresetを実行する必要があるかどうか疑問に思っています。これは必須ですか、それともIISは新しいiniファイルをすぐに取得しますか?
iis-7 - URLScan - フォーム データのフィルタリング
Microsoft の URLScan を使用して、フォーム データをスキャンして悪意のある入力を検出する方法をご存知ですか? (asp.netからの)validateRequestと同等ですが、古典的なaspの場合は?< script > 要素やその他の形式の xss を含む入力など、潜在的に悪意のある入力を含むブラウザーから受信したすべてのデータをブロックしたい
手がかりはありますか?
iis - UrlScan.ini でセミコロンを使用して文字列を指定する
IIS 6 で UrlScan を使用してユーザー エージェントをブロックしたいのですが、文字列にセミコロンを含むユーザー エージェントを指定できません。これは非常に一般的なシナリオだと思いますが、UrlScan.ini (セミコロンはコメントに使用されます) でセミコロンをエスケープする方法についての答えが見つかりません。ルールは次のとおりです。
テストしたところ、「Mozilla/5.0 (Windows NT 5.1)」で始まるすべてのユーザー エージェントがブロックされます。これは、残りの文字列がコメントと見なされるためです。
asp.net - .NET ハンドラーの列挙 (ASP.NET の脆弱性)
セキュリティ監査に基づいて、監査結果に対処していますが、最終的に次の 1 つの項目でスタックして
い
ます
。
解決策:
なし
参照: http://support.microsoft.com/kb/815145
クレジット:
Tenable : 2009-12-04
Windows 2008 R2 サーバーで ASP.NET 2.0 アプリケーションを実行していますが、ISA Server がインストールされていません。
Windows ファイアウォールまたは URLScan でいくつかのルールを構成する必要があると感じていますが、どちらが正確かわかりません。
iis-6 - IIS6: 特定の URL パターンを許可しない
Windows 2003 Server 上の IIS6 で実行されている従来の ASP.NET 2.0 Web サイトは、ユーザーがアップロードしたファイルやダウンロード可能なファイルを多数受け入れます。ページのコンテンツではありません。主に PDF や PNG などのアセット ファイル。ただし、悪意のある盗賊が ASPX ファイルをアップロードして、突然サーバー上でコードを実行できるようにしないことをお勧めします。
つまり、ユーザーがファイルをアップロードする適切なフォルダーに「実行権限: なし」を設定するだけでよいと思われるかもしれません。それで終わりです。ああ。
ユーザーがアップロードしたファイルは、次のパターンのような名前のフォルダーに配置されます: (nnnn、kkkk、llll は、さまざまな長さの数字文字列を表します)
しかし...次のようなフォルダーに保存されたCSSファイルもあります。
また、CSS ファイルは実際には ASPX コードとして解釈されるため、次のようにカラー パレットの置換をクエリ文字列で渡すことができます。
したがって、「実行権限: なし」は /sites レベルではノーノーです。そして、/sites/nnnn/files で個別に数千 nnnn を実行したくはありません。
それで、私は URLScan 3.1 が切符だと言われましたが、ドキュメントを 1、2 時間見つめた後、私はこれまで以上に混乱しました。
何か案は?