Condividi tramite

Deny URL Sequences denyUrlSequences <>

  • Articolo

Panoramica

L'elemento <denyUrlSequences> contiene una raccolta di elementi che specificano sequenze di <add> caratteri URL che IIS nega, che consentono di evitare attacchi basati su URL nel server Web.

Ad esempio, l'uso di due periodi in un URL ("..") indicherà a un server di elaborare l'URL nella directory successiva, ma può anche indicare che un utente malintenzionato sta tentando di accedere alle aree esterne all'area del contenuto. Il blocco di questo modello di caratteri rimuoverà questa possibilità di un utente malintenzionato in grado di sfruttare questa sequenza di URL.

Nota

Quando la richiesta di filtro blocca una richiesta HTTP a causa di una sequenza DI URL negata, IIS 7 restituirà un errore HTTP 404 al client e registra lo stato HTTP seguente con un substatus univoco che identifica il motivo per cui la richiesta è stata negata:

HTTP Substatus Descrizione
404.5 Sequenza URL negata

Questo substatus consente agli amministratori Web di analizzare i log IIS e identificare potenziali minacce.

Nota

A partire da IIS 7.5, è possibile eseguire l'override <denyUrlSequences> delle sequenze DI URL nella raccolta aggiungendo sequenze DI URL alla <alwaysAllowedUrls> raccolta.

Compatibilità

Versione Note
IIS 10.0 L'elemento <denyUrlSequences> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <denyUrlSequences> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <denyUrlSequences> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <denyUrlSequences> non è stato modificato in IIS 7.5.

Nota: IIS 7.5 consente di eseguire l'override delle sequenze DI URL nell'elemento <denyUrlSequences> aggiungendo sequenze DI URL alla <alwaysAllowedUrls> raccolta.
IIS 7.0 L'elemento <denyUrlSequences><requestFiltering> della raccolta è stato introdotto in IIS 7.0.
IIS 6.0 L'elemento <denyUrlSequences> sostituisce le funzionalità URLScan di IIS 6.0 [DenyUrlSequences].

Installazione

L'installazione predefinita di IIS 7 e versioni successive include il servizio ruolo o la funzionalità Di filtro richieste. Se il servizio ruolo o la funzionalità di filtro richieste viene disinstallato, è possibile reinstallarlo usando la procedura seguente.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.
  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.
  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.
  4. Nella pagina Ruoliserver espandere Server Web (IIS), espandere Server Web, espandere Sicurezza e quindi selezionare Filtro richieste. Fare clic su Avanti.
    Screenshot che mostra l'elenco Sicurezza espansa (Installato) di Windows server 2012 o 2012 R 2. Il filtro delle richieste (installato) è evidenziato. .
  5. Nella pagina Selezione funzionalità fare clic su Avanti.
  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore nell'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi fare clic su Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva le funzionalità di Windows.
  3. Espandere Internet Information Services, espandere Servizi Web a livello mondiale, espandere Sicurezza e quindi selezionare Filtro richieste.
    Screenshot della finestra di dialogo Funzionalità di Windows 8 o 8.1. Il filtro delle richieste è evidenziato.
  4. Fare clic su OK.
  5. Fare clic su Close.

Windows Server 2008 o Windows Server 2008 R2

  1. Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Server Manager.
  2. Nel riquadro della gerarchia di Server Manager espandere Ruoli e quindi fare clic su Server Web (IIS).
  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.
  4. Nella pagina Seleziona servizi ruolo della Procedura guidata Aggiungi servizi ruolo selezionare Filtro richieste e quindi fare clic su Avanti.
    Screenshot della finestra Aggiungi servizi ruolo di Windows Server 2008 o 2008 R 2. Il filtro delle richieste è evidenziato.
  5. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  6. Nella pagina Risultati fare clic su Chiudi.

Windows Vista o Windows 7

  1. Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
  3. Espandere Internet Information Services, quindi Servizi Web a livello mondiale e quindi Sicurezza.
  4. Selezionare Filtro richieste e quindi fare clic su OK.
    Screenshot della finestra di dialogo Funzionalità di Windows Vista o Windows 7. Il filtro delle richieste è evidenziato.

Procedure

Nota per gli utenti di IIS 7.0: alcuni dei passaggi descritti in questa sezione potrebbero richiedere l'installazione del Microsoft Administration Pack per IIS 7.0, che include un'interfaccia utente per il filtro delle richieste. Per installare Microsoft Administration Pack per IIS 7.0, vedere l'URL seguente:

Come negare una sequenza di URL

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Nella barra delle applicazioni fare clic su Server Manager, scegliere Strumenti e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni passare alla connessione, al sito, all'applicazione o alla directory per cui si desidera modificare le impostazioni di filtro delle richieste.

  3. Nel riquadro Home fare doppio clic su Filtro richieste.
    Screenshot della finestra I S Manager. L'icona Filtro richieste è evidenziata.

  4. Nel riquadro Filtro richieste fare clic sulla scheda Nega sequenze URL e quindi fare clic su Aggiungi sequenza URL nel riquadro Azioni .
    Screenshot della finestra I S Manager che mostra Il filtro delle richieste nel riquadro principale.

  5. Nella finestra di dialogo Aggiungi sequenza nega immettere la sequenza DI URL che si desidera bloccare e quindi fare clic su OK.
    Screenshot della finestra di dialogo Aggiungi sequenza di negazione.
    Ad esempio, per impedire la transversazione della directory nel server, immettere due periodi ("..") nella finestra di dialogo.

Configurazione

L'elemento <denyUrlSequences> dell'elemento <requestFiltering> è configurato a livello di sito, applicazione o directory.

Attributi

Nessuno.

Elementi figlio

Elemento Descrizione
add Elemento facoltativo.

Aggiunge una sequenza alla raccolta di sequenze URL negate.
clear Elemento facoltativo.

Rimuove tutti i riferimenti alle sequenze dalla <denyUrlSequences> raccolta.
remove Elemento facoltativo.

Rimuove un riferimento a una sequenza dalla <denyUrlSequences> raccolta.

Esempio di configurazione

L'esempio seguente Web.config file nega l'accesso a tre sequenze DI URL. La prima sequenza impedisce la transversale della directory, la seconda sequenza impedisce l'accesso ai flussi di dati alternativi e la terza sequenza impedisce l'uso delle barre rovesciata negli URL.

<configuration>
   <system.webServer>
      <security>
         <requestFiltering>
            <denyUrlSequences>
               <add sequence=".." />
               <add sequence=":" />
               <add sequence="\" />
            </denyUrlSequences>
         </requestFiltering>
      </security>
   </system.webServer>
</configuration>

L'esempio seguente illustra una combinazione di un elemento e di un <denyUrlSequences><alwaysAllowedUrls> elemento che nega gli URL se contengono una delle due sequenze di caratteri specifiche, ma consentirà sempre un URL specifico che contiene entrambe le due sequenze di caratteri specifiche in un determinato ordine.

<system.webServer>
   <security>
      <requestFiltering>
         <denyUrlSequences>
            <add sequence="bad" />
            <add sequence="sequence" />
         </denyUrlSequences>
         <alwaysAllowedUrls>
            <add url="/bad_sequence.txt" />
         </alwaysAllowedUrls>
      </requestFiltering>
   </security>
</system.webServer>

Codice di esempio

Gli esempi di codice seguenti illustrano come negare l'accesso a tre sequenze DI URL per il sito Web predefinito: flussi di dati alternativi (".."), flussi di dati alternativi (":"), e barre rovesciata ("").

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='..']" 

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence=':']" 

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='\']"

PowerShell

Start-IISCommitDelay

$denyUrlSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyUrlSequences'

New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '..' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = ':' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '\' }

Stop-IISCommitDelay

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Default Web Site");

         ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");

         ConfigurationElementCollection denyUrlSequencesCollection = requestFilteringSection.GetCollection("denyUrlSequences");

         ConfigurationElement addElement = denyUrlSequencesCollection.CreateElement("add");
         addElement["sequence"] = @"..";
         denyUrlSequencesCollection.Add(addElement);

         ConfigurationElement addElement1 = denyUrlSequencesCollection.CreateElement("add");
         addElement1["sequence"] = @":";
         denyUrlSequencesCollection.Add(addElement1);

         ConfigurationElement addElement2 = denyUrlSequencesCollection.CreateElement("add");
         addElement2["sequence"] = @"\";
         denyUrlSequencesCollection.Add(addElement2);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
      Dim denyUrlSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyUrlSequences")

      Dim addElement As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement("sequence") = ".."
      denyUrlSequencesCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement1("sequence") = ":"
      denyUrlSequencesCollection.Add(addElement1)

      Dim addElement2 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement2("sequence") = "\"
      denyUrlSequencesCollection.Add(addElement2)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection;

var addElement = denyUrlSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "..";
denyUrlSequencesCollection.AddElement(addElement);

var addElement1 = denyUrlSequencesCollection.CreateNewElement("add");
addElement1.Properties.Item("sequence").Value = ":";
denyUrlSequencesCollection.AddElement(addElement1);

var addElement2 = denyUrlSequencesCollection.CreateNewElement("add");
addElement2.Properties.Item("sequence").Value = "\\";
denyUrlSequencesCollection.AddElement(addElement2);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection

Set addElement = denyUrlSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = ".."
denyUrlSequencesCollection.AddElement(addElement)

Set addElement1 = denyUrlSequencesCollection.CreateNewElement("add")
addElement1.Properties.Item("sequence").Value = ":"
denyUrlSequencesCollection.AddElement(addElement1)

Set addElement2 = denyUrlSequencesCollection.CreateNewElement("add")
addElement2.Properties.Item("sequence").Value = "\"
denyUrlSequencesCollection.AddElement(addElement2)

adminManager.CommitChanges()