问题标签 [urlscan]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
797 浏览

urlscan - URLSCAN 问题

我在 Win2003 服务器上安装了 uriscan,它阻止了旧的 ColdFusion 脚本。日志条目具有以下内容 -

2008-09-19 00:16:57 66.82.162.13 1416208729 GET /Admin/Uploads/Mountain/Wolf%2520Creek%2520gazeebo.jpg 拒绝 URL+is+double+转义 URL - -

如何在不关闭双转义 url 功能的情况下让 uriscan 允许这样的提交?

0 投票
1 回答
2102 浏览

iis - Urlscan 3.1 阻止用户代理

我需要阻止某些用户代理对我们的 Sharepoint 环境的请求,这些请求在通过 IIS 日志后已被识别。

我通过修改 urlscan.ini 配置文件并执行和 iisreset 尝试了以下操作,但它不会阻止任何内容。

我输入了正确的字符串吗?我正在从 iis 日志中复制用户代理字符串

http://blogs.msdn.com/rakkimk/archive/2009/06/12/urlscan-rejecting-the-request-depending-on-the-user-agent-string.aspx

0 投票
2 回答
282 浏览

security - URLScan 和百分号

所以我遇到了一个愚蠢的问题,用户无法下载带有百分号的文件。这是一个 IIS6/Win2k3 盒子。它最终成为 URLScan。我不得不在 urlscan.ini 中取消设置两件事:

1) 将 VerifyNormalization 设置为 0(禁用)
2) 从“DenyUrlSequences”部分删除百分号

做一个iisreset,问题就解决了。但最大的问题是:这有多大的安全风险?

0 投票
2 回答
1358 浏览

iis - 使用 URLScan 阻止空用户代理

我可以阻止特定的用户代理,但我想使用 URLscan v3.1 阻止所有带有空用户代理的请求。

有谁知道如何做到这一点?

0 投票
1 回答
226 浏览

security - 使用站点的 ip 阻止请求

是否可以在 IIS 上阻止所有使用 IP 地址而不是域名的请求?例如,我想阻止https://104.100.100.2但不阻止https://somesite.com(位于 104.100.100.2 的虚拟 IP 上)。我试过使用 URLScan 3,但无法建立一个有效的规则。谢谢!

0 投票
2 回答
2691 浏览

iis - 更新 urlscan.ini 是否需要 iisreset?

我想知道在更新 urlscan.ini 文件时是否必须执行 iisreset。这是必需的还是 IIS 会立即获取新的 ini 文件?

0 投票
1 回答
842 浏览

iis-7 - URLScan - 过滤表单数据

使用 Microsoft 的 URLScan,您知道有什么方法可以扫描表单数据以查找恶意输入吗?validateRequest(来自asp.net)的等价物,但对于经典的asp?我想阻止从浏览器接收到的所有具有潜在恶意输入的数据,例如,包含 <script> 元素或其他形式的 xss 的输入

有什么线索吗?

0 投票
1 回答
655 浏览

iis - 在 UrlScan.ini 中用分号指定字符串

我想在 IIS 6 上使用 UrlScan 阻止用户代理。但是我无法在字符串中使用分号指定用户代理。我认为这是一个非常常见的场景,但我找不到任何关于如何在 UrlScan.ini 中转义分号的答案(其中分号用于评论)。这是规则:

我对其进行了测试,它阻止了所有以“Mozilla/5.0 (Windows NT 5.1”) 开头的用户代理,因为它将字符串的其余部分视为注释。

0 投票
1 回答
2225 浏览

asp.net - .NET 处理程序的枚举(ASP.NET 漏洞)

基于安全审计,我正在处理审计结果,最终我与一个项目堆叠在一起:
124242:Microsoft .NET 处理程序枚举
风险 1:Web 服务
可以获得远程 ASP.NET Web 服务器支持的处理程序列表。
解决方案:

参考资料: http:
//support.microsoft.com/kb/815145
来源 :
Tenable:2009-12-04

我在 Windows 2008 R2 服务器上运行 ASP.NET 2.0 应用程序,但我没有安装 ISA 服务器。

我觉得我需要在Windows防火墙或URLScan中配置一些规则,但我不明白具体是哪一个。

0 投票
0 回答
209 浏览

iis-6 - IIS6:不允许某些 URL 模式

我们的旧版 ASP.NET 2.0 网站在 Windows 2003 Server 上的 IIS6 中运行,接受大量用户上传和用户可下载的文件。不是页面内容;主要是 PDF 和 PNG 等资产文件。但是,当然建议不要让顽皮的虫子上传 ASPX 文件并突然能够在我们的服务器上执行代码。

所以......你会认为我们可以在用户上传文件结束的适当文件夹中设置“执行权限:无”,这就是它的结束。唉。

用户上传的文件最终保存在以下列模式命名的文件夹中:(nnnn、kkkk 和 llll 代表不同长度的数字字符串)

但是......还有一些 CSS 文件存储在如下文件夹中:

CSS 文件实际上被解释为 ASPX 代码,因此可以在查询字符串中传递调色板替换,如下所示:

因此,“执行权限:无”在 /sites 级别是禁止的。而且我真的宁愿不在 /sites/nnnn/files 中单独为几千 nnnn 执行此操作。

所以有人告诉我 URLScan 3.1 是票,但是在盯着文档一两个小时后,我比以往任何时候都更加困惑。

有任何想法吗?