Deny Query String Sequences <denyQueryStringSequences>
Общие сведения
Элемент <denyQueryStringSequences> содержит коллекцию <add> элементов, указывающих последовательности символов строки запроса, которые будут запрещены службами IIS, что помогает предотвратить атаки на веб-сервер, которые используют строку запроса для доставки полезных данных атаки.
Примечание
Последовательности строк запроса в этой коллекции можно переопределить, добавив последовательности строк запроса в коллекцию <alwaysAllowedQueryStrings> .
Примечание
Когда фильтрация запросов блокирует HTTP-запрос из-за отклоненной последовательности строки запроса, IIS 7 вернет клиенту ошибку HTTP 404 и регистрирует следующее состояние HTTP с уникальным подсостояние, которое определяет причину отклонения запроса:
| Подсостояние HTTP | Описание |
|---|---|
404.18 |
Последовательность строк запроса запрещена |
Это подсостояние позволяет веб-администраторам анализировать журналы IIS и выявлять потенциальные угрозы.
Совместимость
| Версия | Примечания |
|---|---|
| IIS 10.0 | Элемент <denyQueryStringSequences> не был изменен в IIS 10.0. |
| IIS 8,5 | Элемент <denyQueryStringSequences> не был изменен в IIS 8.5. |
| IIS 8,0 | Элемент <denyQueryStringSequences> не был изменен в IIS 8.0. |
| IIS 7,5 | Элемент <denyQueryStringSequences> входит в <requestFiltering> состав iis 7.5. |
| IIS 7.0 | Элемент <denyQueryStringSequences><requestFiltering> элемента был представлен в качестве обновления для IIS 7.0, доступного в статье базы знаний Майкрософт 957508 (https://support.microsoft.com/kb/957508). |
| IIS 6,0 | Элемент <denyQueryStringSequences> примерно аналогичен разделу [DenyQueryStringSequences] , добавленному в URLScan 3.0. |
Настройка
Установка iis 7 и более поздних версий по умолчанию включает в себя службу или функцию роли фильтрации запросов. Если служба или компонент роли фильтрации запросов удалены, его можно переустановить, выполнив следующие действия.
Windows Server 2012 или Windows Server 2012 R2
- На панели задач щелкните Диспетчер сервера.
- В диспетчер сервера откройте меню Управление и выберите пункт Добавить роли и компоненты.
- В мастере добавления ролей и компонентов нажмите кнопку Далее. Выберите тип установки и нажмите кнопку Далее. Выберите целевой сервер и нажмите кнопку Далее.
- На странице Роли сервера разверните узел Веб-сервер (IIS),веб-сервер, безопасность, а затем выберите Фильтрация запросов. Щелкните Далее.
. - На странице Выбор компонентов нажмите кнопку Далее.
- На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
- На странице Результаты нажмите кнопку Закрыть.
Windows 8 или Windows 8.1
- На начальном экране переместите указатель в левый нижний угол, щелкните правой кнопкой мыши кнопку Пуск и выберите пункт панель управления.
- В панель управления щелкните Программы и компоненты, а затем — Включить или выключить компоненты Windows.
- Разверните узлы Службы IIS, Службы Интернета, Безопасность, а затем выберите Фильтрация запросов.
- Нажмите кнопку ОК.
- Щелкните Закрыть.
Windows Server 2008 или Windows Server 2008 R2
- На панели задач нажмите кнопку Пуск, наведите указатель мыши на пункт Администрирование, а затем щелкните диспетчер сервера.
- В области иерархии диспетчер сервера разверните узел Роли, а затем щелкните Веб-сервер (IIS) .
- В области Веб-сервер (IIS) прокрутите страницу до раздела Службы ролей и щелкните Добавить службы ролей.
- На странице Выбор служб ролеймастера добавления служб ролей выберите Фильтрация запросов и нажмите кнопку Далее.
- На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.
- На странице Результаты нажмите кнопку Закрыть.
Windows Vista или Windows 7
- На панели задач нажмите кнопку Пуск, а затем выберите пункт панель управления.
- В панель управления щелкните Программы и компоненты, а затем — Включить или отключить компоненты Windows.
- Разверните узел Службы IIS, Затем — Службы Интернета, а затем — Безопасность.
- Выберите Фильтрация запросов и нажмите кнопку ОК.
Инструкции
Как запретить последовательность строк запроса
Откройте диспетчер служб IIS.
Если вы используете Windows Server 2012 или Windows Server 2012 R2:
- На панели задач щелкните диспетчер сервера, инструменты, а затем диспетчер служб IIS.
Если вы используете Windows 8 или Windows 8.1:
- Удерживая нажатой клавишу Windows, нажмите букву X и щелкните панель управления.
- Щелкните Администрирование, а затем дважды щелкните диспетчер служб IIS.
Если вы используете Windows Server 2008 или Windows Server 2008 R2:
- На панели задач нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем щелкните Диспетчер служб IIS.
Если вы используете Windows Vista или Windows 7:
- На панели задач нажмите кнопку Пуск, а затем выберите пункт панель управления.
- Дважды щелкните элемент Администрирование, а затем дважды щелкните диспетчер служб IIS.
В области Подключения перейдите к подключению, сайту, приложению или каталогу, для которых вы хотите изменить параметры фильтрации запросов.
В области Главная дважды щелкните Фильтрация запросов.
В области Фильтрация запросов перейдите на вкладку Строки запроса , а затем щелкните Запретить строку запроса... в области Действия .
В диалоговом окне Запретить строку запроса введите последовательность строк запроса, которую необходимо заблокировать, и нажмите кнопку ОК.
Конфигурация
Элемент <denyQueryStringSequences><requestFiltering> элемента настраивается на уровне сайта, приложения или каталога.
Атрибуты
Отсутствует.
Дочерние элементы
| Элемент | Описание |
|---|---|
add |
Необязательный элемент. Добавляет строку запроса в коллекцию запрещенных строк запроса. |
clear |
Необязательный элемент. Удаляет все ссылки на строки запроса из коллекции. |
remove |
Необязательный элемент. Удаляет строку запроса из коллекции запрещенных строк запроса. |
Образец конфигурации
В следующем примере показано сочетание <denyQueryStringSequences> элемента и <alwaysAllowedQueryStrings> элемента, которое будет запрещать любые строки запроса, если они содержат одну из двух определенных последовательностей символов, но всегда допускает определенную строку запроса, содержащую обе эти две определенные последовательности символов в определенном порядке.
<system.webServer>
<security>
<requestFiltering>
<denyQueryStringSequences>
<add sequence="bad" />
<add sequence="sequence" />
</denyQueryStringSequences>
<alwaysAllowedQueryStrings>
<add queryString="bad=sequence" />
</alwaysAllowedQueryStrings>
</requestFiltering>
</security>
</system.webServer>
Пример кода
В следующих примерах показано, как добавить последовательность строки запроса, которая будет запрещена на веб-сайте по умолчанию.
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyQueryStringSequences.[sequence='bad_querystring_sequence']"
PowerShell
$denyQueryStringSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyQueryStringSequences'
New-IISConfigCollectionElement -ConfigCollection $denyQueryStringSequences -ConfigAttribute @{ 'sequence' = 'bad_querystring_sequence' }
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElementCollection denyQueryStringSequencesCollection = requestFilteringSection.GetCollection("denyQueryStringSequences");
ConfigurationElement addElement = denyQueryStringSequencesCollection.CreateElement("add");
addElement["sequence"] = @"bad_querystring_sequence";
denyQueryStringSequencesCollection.Add(addElement);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim denyQueryStringSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyQueryStringSequences")
Dim addElement As ConfigurationElement = denyQueryStringSequencesCollection.CreateElement("add")
addElement("sequence") = "bad_querystring_sequence"
denyQueryStringSequencesCollection.Add(addElement)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection;
var addElement = denyQueryStringSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence";
denyQueryStringSequencesCollection.AddElement(addElement);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection
Set addElement = denyQueryStringSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence"
denyQueryStringSequencesCollection.AddElement(addElement)
adminManager.CommitChanges()