拒絕查詢字串序列 < denyQueryStringSequences>
概觀
元素 <denyQueryStringSequences> 包含專案集合 <add> ,指定 IIS 將拒絕的查詢字串字元序列,這有助於防止使用查詢字串傳遞攻擊承載的 Web 服務器上的攻擊。
注意
您可以將查詢字串序列新增至 <alwaysAllowedQueryStrings> 集合,以覆寫此集合中的查詢字串序列。
注意
當要求篩選因為拒絕的查詢字串序列而封鎖 HTTP 要求時,IIS 7 會將 HTTP 404 錯誤傳回給用戶端,並使用唯一的子狀態記錄下列 HTTP 狀態,以識別要求遭到拒絕的原因:
| HTTP 子狀態 | 描述 |
|---|---|
404.18 |
查詢字串序列遭拒 |
此子狀態可讓 Web 系統管理員分析其 IIS 記錄,並識別潛在的威脅。
相容性
| 版本 | 備註 |
|---|---|
| IIS 10.0 | 未在 IIS 10.0 中修改專案 <denyQueryStringSequences> 。 |
| IIS 8.5 | 未在 IIS 8.5 中修改專案 <denyQueryStringSequences> 。 |
| IIS 8.0 | 未在 IIS 8.0 中修改專案 <denyQueryStringSequences> 。 |
| IIS 7.5 | 元素 <denyQueryStringSequences> 的 <requestFiltering> 元素隨附為 IIS 7.5 的功能。 |
| IIS 7.0 | 元素 <denyQueryStringSequences> 的 <requestFiltering> 元素已引進為 IIS 7.0 的更新,可透過 Microsoft 知識庫文章957508 (https://support.microsoft.com/kb/957508) 取得。 |
| IIS 6.0 | 元素 <denyQueryStringSequences> 大致上類似于新增至 URLScan 3.0 的 [DenyQueryStringSequences] 區段。 |
安裝程式
IIS 7 和更新版本的預設安裝包含要求篩選角色服務或功能。 如果卸載要求篩選角色服務或功能,您可以使用下列步驟重新安裝它。
Windows Server 2012 或 Windows Server 2012 R2
- 在工作列上,按一下 [伺服器管理員]。
- 在[伺服器管理員] 中,按一下 [管理] 功能表,然後按一下 [新增角色及功能]。
- 在 [ 新增角色及功能精 靈] 中,按 [ 下一步]。 選取安裝類型,然後按 [ 下一步]。 選取目的地伺服器,然後按 [ 下一步]。
- 在 [ 伺服器角色] 頁面上,依序展開 [ Web 服務器] ([IIS) ]、[ Web 服務器]、[ 安全性],然後選取 [ 要求篩選]。 按一下 [下一步] 。
![此螢幕擷取畫面顯示 [網頁伺服器和安全性] 窗格已展開,並已選取 [要求篩選]。](index/_static/image2.png)
. - 在 [選取功能] 頁面上,按 [下一步]。
- 在 [確認安裝選項] 頁面上,按一下 [安裝]。
- 在 [結果] 頁面上,按一下 [關閉]。
![此螢幕擷取畫面顯示 [網頁伺服器和安全性] 窗格已展開,並已選取 [要求篩選]。](index/_static/image1.png)
Windows 8 或 Windows 8.1
- 在 [開始] 畫面上,將指標一路移至左下角,以滑鼠右鍵按一下 [開始] 按鈕,然後按一下[主控台]。
- 在主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。
- 依 序展開 [Internet Information Services]、[ 萬維網服務]、[ 安全性],然後選取 [ 要求篩選]。
![螢幕擷取畫面顯示已展開 [全球網服務與安全性] 窗格,並已選取 [要求篩選]。](index/_static/image4.png)
- 按一下 [確定]。
- 按一下 [關閉] 。
![螢幕擷取畫面顯示已展開 [全球網服務與安全性] 窗格,並已選取 [要求篩選]。](index/_static/image3.png)
Windows Server 2008 或 Windows Server 2008 R2
- 在工作列上,按一下 [開始],指向 [系統管理工具],然後按一下[伺服器管理員]。
- 在[伺服器管理員階層] 窗格中,展開 [角色],然後按一下 [Web 服務器] (IIS) 。
- 在 [ Web Server (IIS) ] 窗格中,捲動至 [ 角色服務 ] 區段,然後按一下 [ 新增角色服務]。
- 在 [新增角色服務精靈] 的 [選取角色服務] 頁面上,選取 [要求篩選],然後按 [下一步]。
![[選取角色服務] 頁面的螢幕擷取畫面,其中已展開 [安全性] 窗格,並已選取 [要求篩選]。](index/_static/image6.png)
- 在 [確認安裝選項] 頁面上,按一下 [安裝]。
- 在 [結果] 頁面上,按一下 [關閉]。
![[選取角色服務] 頁面的螢幕擷取畫面,其中已展開 [安全性] 窗格,並已選取 [要求篩選]。](index/_static/image5.png)
Windows Vista 或 Windows 7
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 在主控台中,按一下 [程式和功能],然後按一下[開啟或關閉 Windows 功能]。
- 依序展開 [Internet Information Services]、[ World Wide Web 服務] 和 [ 安全性]。
- 選取 [ 要求篩選],然後按一下 [ 確定]。
![已展開 [安全性] 窗格的螢幕擷取畫面,其中顯示已選取 [要求篩選]。](index/_static/image8.png)
![已展開 [安全性] 窗格的螢幕擷取畫面,其中顯示已選取 [要求篩選]。](index/_static/image7.png)
作法
如何拒絕查詢字串序列
開啟 [Internet Information Services (IIS) 管理員:
如果您使用 Windows Server 2012 或 Windows Server 2012 R2:
- 在工作列上,依序按一下 [伺服器管理員]、[工具],然後按一下 [Internet Information Services (IIS) Manager]。
如果您使用 Windows 8 或 Windows 8.1:
- 按住Windows鍵,按字母X,然後按一下[主控台]。
- 按一下 [系統管理工具],然後按兩下 [ Internet Information Services (IIS) Manager]。
如果您使用 Windows Server 2008 或 Windows Server 2008 R2:
- 在工作列上,按一下 [ 開始],指向 [ 系統管理工具],然後按一下 [ Internet Information Services (IIS) 管理員]。
如果您使用 Windows Vista 或 Windows 7:
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 按兩下 [系統管理工具],然後按兩下 [ Internet Information Services] (IIS) Manager。
在 [連線] 窗格中,移至您要修改要求篩選設定的連線、月臺、應用程式或目錄。
在 [ 首頁] 窗格中,按兩下 [ 要求篩選]。
在 [要求篩選] 窗格中,按一下 [查詢字串]索引標籤,然後按一下 [動作] 窗格中的[拒絕查詢字串...]。
在 [ 拒絕查詢字串] 對話方塊中,輸入您想要封鎖的查詢字串序列,然後按一下 [ 確定]。
組態
元素 <denyQueryStringSequences> 的 <requestFiltering> 元素是在月臺、應用程式或目錄層級設定。
屬性
無。
子元素
| 元素 | 描述 |
|---|---|
add |
選擇性項目。 將查詢字串加入至拒絕查詢字串的集合。 |
clear |
選擇性項目。 從集合中移除查詢字串的所有參考。 |
remove |
選擇性項目。 從拒絕的查詢字串集合中移除查詢字串。 |
組態範例
下列範例說明一個 <denyQueryStringSequences> 元素和一個 <alwaysAllowedQueryStrings> 元素的組合,如果它們包含兩個特定字元序列的其中一個,則會拒絕任何查詢字串,但一律允許特定查詢字串,其中包含這兩個特定字元序列中的兩個特定順序。
<system.webServer>
<security>
<requestFiltering>
<denyQueryStringSequences>
<add sequence="bad" />
<add sequence="sequence" />
</denyQueryStringSequences>
<alwaysAllowedQueryStrings>
<add queryString="bad=sequence" />
</alwaysAllowedQueryStrings>
</requestFiltering>
</security>
</system.webServer>
範例程式碼
下列範例示範如何新增將在預設網站上遭到拒絕的查詢字串序列。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyQueryStringSequences.[sequence='bad_querystring_sequence']"
PowerShell
$denyQueryStringSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyQueryStringSequences'
New-IISConfigCollectionElement -ConfigCollection $denyQueryStringSequences -ConfigAttribute @{ 'sequence' = 'bad_querystring_sequence' }
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElementCollection denyQueryStringSequencesCollection = requestFilteringSection.GetCollection("denyQueryStringSequences");
ConfigurationElement addElement = denyQueryStringSequencesCollection.CreateElement("add");
addElement["sequence"] = @"bad_querystring_sequence";
denyQueryStringSequencesCollection.Add(addElement);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim denyQueryStringSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyQueryStringSequences")
Dim addElement As ConfigurationElement = denyQueryStringSequencesCollection.CreateElement("add")
addElement("sequence") = "bad_querystring_sequence"
denyQueryStringSequencesCollection.Add(addElement)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection;
var addElement = denyQueryStringSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence";
denyQueryStringSequencesCollection.AddElement(addElement);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection
Set addElement = denyQueryStringSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence"
denyQueryStringSequencesCollection.AddElement(addElement)
adminManager.CommitChanges()