問題タブ [urlscan]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
2 に答える
797 参照

urlscan - URLスキャンの質問

Win2003 サーバーに uriscan をインストールしましたが、古い ColdFusion スクリプトをブロックしています。ログエントリには次のものがあります--

2008-09-19 00:16:57 66.82.162.13 1416208729 GET /Admin/Uploads/Mountain/Wolf%2520Creek%2520gazeebo.jpg 拒否された URL+is+double+エスケープされた URL - -

ダブルエスケープURL機能をオフにせずに、このような送信を許可するようにuriscanを取得するにはどうすればよいですか?

0 投票する
1 に答える
2102 参照

iis - Urlscan 3.1 ブロック ユーザー エージェント

IIS ログを調べた後に特定された、特定のユーザー エージェントから SharePoint 環境への要求をブロックする必要があります。

urlscan.ini 構成ファイルを修正し、iisreset を実行して以下を試しましたが、何もブロックされません。

正しい文字列を入力していますか? iis ログからユーザー エージェント文字列をコピーしています

http://blogs.msdn.com/rakkimk/archive/2009/06/12/urlscan-rejecting-the-request-depending-on-the-user-agent-string.aspx

0 投票する
2 に答える
282 参照

security - URLScan とパーセント記号

そのため、ユーザーがパーセント記号を含むファイルをダウンロードできないというばかげた問題に遭遇しました。これは IIS6/Win2k3 ボックスです。最終的には URLScan になりました。urlscan.ini で 2 つの設定を解除する必要がありました。

1) VerifyNormalization を 0 (無効) に設定します
2) 「DenyUrlSequences」セクションからパーセント記号を削除します

iisreset を実行すると、問題が解決します。しかし、大きな問題は、これがどの程度のセキュリティ リスクになるのかということです。

0 投票する
2 に答える
1358 参照

iis - URLScanで空のユーザーエージェントをブロックする

特定のユーザーエージェントをブロックすることはできますが、URLscan v3.1を使用して、空のユーザーエージェントですべてのリクエストをブロックしたいと思います。

誰かがこれを行う方法を知っていますか?

0 投票する
1 に答える
226 参照

security - サイトの IP を使用してリクエストをブロックする

IIS 上のサイトのドメイン名ではなく IP アドレスを使用するすべての要求をブロックすることはできますか? たとえば、https://104.100.100.2 はブロックしたいhttps : //somesite.com (104.100.100.2 のダミー IP にある) はブロックしたくない。URLScan 3 を使用してみましたが、有効なルールを構築できませんでした。ありがとう!

0 投票する
2 に答える
2691 参照

iis - urlscan.iniを更新するにはiisresetが必要ですか?

urlscan.iniファイルを更新するときにiisresetを実行する必要があるかどうか疑問に思っています。これは必須ですか、それともIISは新しいiniファイルをすぐに取得しますか?

0 投票する
1 に答える
842 参照

iis-7 - URLScan - フォーム データのフィルタリング

Microsoft の URLScan を使用して、フォーム データをスキャンして悪意のある入力を検出する方法をご存知ですか? (asp.netからの)validateRequestと同等ですが、古典的なaspの場合は?< script > 要素やその他の形式の xss を含む入力など、潜在的に悪意のある入力を含むブラウザーから受信したすべてのデータをブロックしたい

手がかりはありますか?

0 投票する
1 に答える
655 参照

iis - UrlScan.ini でセミコロンを使用して文字列を指定する

IIS 6 で UrlScan を使用してユーザー エージェントをブロックしたいのですが、文字列にセミコロンを含むユーザー エージェントを指定できません。これは非常に一般的なシナリオだと思いますが、UrlScan.ini (セミコロンはコメントに使用されます) でセミコロンをエスケープする方法についての答えが見つかりません。ルールは次のとおりです。

テストしたところ、「Mozilla/5.0 (Windows NT 5.1)」で始まるすべてのユーザー エージェントがブロックされます。これは、残りの文字列がコメントと見なされるためです。

0 投票する
1 に答える
2225 参照

asp.net - .NET ハンドラーの列挙 (ASP.NET の脆弱性)

セキュリティ監査に基づいて、監査結果に対処していますが、最終的に次の 1 つの項目でスタックして い
ます 。 解決策: なし 参照: http://support.microsoft.com/kb/815145 クレジット: Tenable : 2009-12-04








Windows 2008 R2 サーバーで ASP.NET 2.0 アプリケーションを実行していますが、ISA Server がインストールされていません。

Windows ファイアウォールまたは URLScan でいくつかのルールを構成する必要があると感じていますが、どちらが正確かわかりません。

0 投票する
0 に答える
209 参照

iis-6 - IIS6: 特定の URL パターンを許可しない

Windows 2003 Server 上の IIS6 で実行されている従来の ASP.NET 2.0 Web サイトは、ユーザーがアップロードしたファイルやダウンロード可能なファイルを多数受け入れます。ページのコンテンツではありません。主に PDF や PNG などのアセット ファイル。ただし、悪意のある盗賊が ASPX ファイルをアップロードして、突然サーバー上でコードを実行できるようにしないことをお勧めします。

つまり、ユーザーがファイルをアップロードする適切なフォルダーに「実行権限: なし」を設定するだけでよいと思われるかもしれません。それで終わりです。ああ。

ユーザーがアップロードしたファイルは、次のパターンのような名前のフォルダーに配置されます: (nnnn、kkkk、llll は、さまざまな長さの数字文字列を表します)

しかし...次のようなフォルダーに保存されたCSSファイルもあります。

また、CSS ファイルは実際には ASPX コードとして解釈されるため、次のようにカラー パレットの置換をクエリ文字列で渡すことができます。

したがって、「実行権限: なし」は /sites レベルではノーノーです。そして、/sites/nnnn/files で個別に数千 nnnn を実行したくはありません。

それで、私は URLScan 3.1 が切符だと言われましたが、ドキュメントを 1、2 時間見つめた後、私はこれまで以上に混乱しました。

何か案は?