Condividi tramite

Deny Query String Sequences <denyQueryStringSequences>

  • Articolo

Panoramica

L'elemento <denyQueryStringSequences> contiene una raccolta di <add> elementi che specificano sequenze di caratteri stringa di query che IIS negherà, che consente di evitare attacchi sul server Web che usano la stringa di query per recapitare il payload di attacco.

Nota

È possibile eseguire l'override delle sequenze di stringhe di query in questa raccolta aggiungendo sequenze di stringhe di query alla <alwaysAllowedQueryStrings> raccolta.

Nota

Quando il filtro delle richieste blocca una richiesta HTTP a causa di una sequenza di stringhe di query negata, IIS 7 restituirà un errore HTTP 404 al client e registra lo stato HTTP seguente con uno stato secondario univoco che identifica il motivo per cui la richiesta è stata negata:

Stato secondario HTTP Descrizione
404.18 Sequenza di stringhe di query negata

Questo stato secondario consente agli amministratori Web di analizzare i log IIS e identificare potenziali minacce.

Compatibilità

Versione Note
IIS 10.0 L'elemento <denyQueryStringSequences> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <denyQueryStringSequences> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <denyQueryStringSequences> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <denyQueryStringSequences> dell'elemento <requestFiltering> viene fornito come funzionalità di IIS 7.5.
IIS 7.0 L'elemento <denyQueryStringSequences> dell'elemento è stato introdotto come aggiornamento per IIS 7.0 disponibile tramite l'articolo <requestFiltering> della Microsoft Knowledge Base 957508 (https://support.microsoft.com/kb/957508).
IIS 6.0 L'elemento <denyQueryStringSequences> è approssimativamente analogo alla sezione [DenyQueryStringSequences] aggiunta a URLScan 3.0.

Installazione

L'installazione predefinita di IIS 7 e versioni successive include il servizio ruolo o la funzionalità Filtro richieste. Se la funzionalità o il servizio ruolo Filtro richieste viene disinstallata, è possibile reinstallarla seguendo questa procedura.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.
  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.
  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.
  4. Nella pagina Ruoli server espandere Server Web (IIS), server Web, serverWeb, sicurezzae quindi selezionare Filtro richieste. Fare clic su Avanti.
    Screenshot che mostra il riquadro Server Web e Sicurezza espanso e l'opzione Filtro richieste selezionata. .
  5. Nella pagina Selezione funzionalità fare clic su Avanti.
  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
  3. Espandere Internet Information Services, servizi Web a livello globale, sicurezza, quindi selezionare Filtro richieste.
    Screenshot che mostra il riquadro Servizi Web globale e Sicurezza espanso con l'opzione Filtro richieste selezionata.
  4. Fare clic su OK.
  5. Fare clic su Close.

Windows Server 2008 o Windows Server 2008 R2

  1. Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.
  2. Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).
  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.
  4. Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo selezionare Filtro richieste e quindi fare clic su Avanti.
    Screenshot della pagina Selezione servizi ruolo in cui è visualizzato il riquadro Sicurezza espanso e Filtro richieste selezionato.
  5. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  6. Nella pagina Risultati fare clic su Chiudi.

Windows Vista o Windows 7

  1. Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
  3. Espandere Internet Information Services, quindi Servizi Web a livello mondiale, quindi Sicurezza.
  4. Selezionare Filtro richieste e quindi fare clic su OK.
    Screenshot del riquadro Sicurezza espanso che mostra l'opzione Filtro richieste selezionata.

Procedure

Come negare una sequenza di stringhe di query

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni passare alla connessione, al sito, all'applicazione o alla directory per cui si desidera modificare le impostazioni di filtro delle richieste.

  3. Nel riquadro Home fare doppio clic su Filtro richieste.

  4. Nel riquadro Filtro richieste fare clic sulla scheda Stringhe di query e quindi su Nega stringa di query nel riquadro Azioni .

  5. Nella finestra di dialogo Nega stringa di query immettere la sequenza di stringhe di query che si desidera bloccare e quindi fare clic su OK.

Configurazione

L'elemento <denyQueryStringSequences> dell'elemento <requestFiltering> viene configurato a livello di sito, applicazione o directory.

Attributi

Nessuno.

Elementi figlio

Elemento Descrizione
add Elemento facoltativo.

Aggiunge una stringa di query alla raccolta di stringhe di query negate.
clear Elemento facoltativo.

Rimuove tutti i riferimenti alle stringhe di query dalla raccolta.
remove Elemento facoltativo.

Rimuove una stringa di query dalla raccolta di stringhe di query negate.

Esempio di configurazione

Nell'esempio seguente viene illustrata una combinazione di un elemento e di un <denyQueryStringSequences><alwaysAllowedQueryStrings> elemento che negherà le stringhe di query se contengono una di due sequenze di caratteri specifiche, ma consentirà sempre una stringa di query specifica che contiene entrambe le sequenze di caratteri specifiche in un ordine specifico.

<system.webServer>
   <security>
      <requestFiltering>
         <denyQueryStringSequences>
            <add sequence="bad" />
            <add sequence="sequence" />
         </denyQueryStringSequences>
         <alwaysAllowedQueryStrings>
            <add queryString="bad=sequence" />
         </alwaysAllowedQueryStrings>
      </requestFiltering>
   </security>
</system.webServer>

Codice di esempio

Gli esempi seguenti illustrano come aggiungere una sequenza di stringhe di query che verrà negata nel sito Web predefinito.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyQueryStringSequences.[sequence='bad_querystring_sequence']"

PowerShell

$denyQueryStringSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyQueryStringSequences'
New-IISConfigCollectionElement -ConfigCollection $denyQueryStringSequences -ConfigAttribute @{ 'sequence' = 'bad_querystring_sequence' }

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Default Web Site");
         ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");

         ConfigurationElementCollection denyQueryStringSequencesCollection = requestFilteringSection.GetCollection("denyQueryStringSequences");
         ConfigurationElement addElement = denyQueryStringSequencesCollection.CreateElement("add");
         addElement["sequence"] = @"bad_querystring_sequence";
         denyQueryStringSequencesCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")

      Dim denyQueryStringSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyQueryStringSequences")
      Dim addElement As ConfigurationElement = denyQueryStringSequencesCollection.CreateElement("add")
      addElement("sequence") = "bad_querystring_sequence"
      denyQueryStringSequencesCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");

var denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection;
var addElement = denyQueryStringSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence";
denyQueryStringSequencesCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")

Set denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection
Set addElement = denyQueryStringSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence"
denyQueryStringSequencesCollection.AddElement(addElement)

adminManager.CommitChanges()