拒絕 URL 序列 < denyUrlSequences>
概觀
元素 <denyUrlSequences> 包含元素的集合 <add> ,指定 IIS 將拒絕的 URL 字元序列,這有助於防止網頁伺服器上的 URL 型攻擊。
例如,在 URL 中使用兩個句點 (「。」) 會指示伺服器處理下一個較高目錄中的 URL,但也可能表示攻擊者嘗試取得內容區域外部區域的存取權。 封鎖該字元模式將會移除攻擊者能夠利用此 URL 序列的機會。
注意
當要求篩選因拒絕 URL 序列而封鎖 HTTP 要求時,IIS 7 會將 HTTP 404 錯誤傳回給用戶端,並使用唯一的子狀態來記錄下列 HTTP 狀態,以識別拒絕要求的原因:
| HTTP 子狀態 | 描述 |
|---|---|
404.5 |
URL 序列遭拒 |
此子狀態可讓 Web 系統管理員分析其 IIS 記錄,並識別潛在的威脅。
注意
從 IIS 7.5 開始,您可以將 URL 序列新增至 <alwaysAllowedUrls> 集合, <denyUrlSequences> 以覆寫集合中的 URL 序列。
相容性
| 版本 | 備註 |
|---|---|
| IIS 10.0 | 在 <denyUrlSequences> IIS 10.0 中未修改專案。 |
| IIS 8.5 | 未 <denyUrlSequences> 在 IIS 8.5 中修改專案。 |
| IIS 8.0 | 在 IIS 8.0 中未修改專案 <denyUrlSequences> 。 |
| IIS 7.5 | 未 <denyUrlSequences> 在 IIS 7.5 中修改專案。注意:IIS 7.5 可讓您將 URL 序列新增至 <alwaysAllowedUrls> 集合,以覆寫 元素中的 <denyUrlSequences> URL 序列。 |
| IIS 7.0 | <denyUrlSequences>集合的 <requestFiltering> 元素是在 IIS 7.0 中引進的。 |
| IIS 6.0 | 元素 <denyUrlSequences> 會取代 IIS 6.0 UrlScan [DenyUrlSequences] 功能。 |
安裝程式
IIS 7 和更新版本的預設安裝包含要求篩選角色服務或功能。 如果卸載要求篩選角色服務或功能,您可以使用下列步驟重新安裝它。
Windows Server 2012 或 Windows Server 2012 R2
- 在工作列上,按一下 [伺服器管理員]。
- 在伺服器管理員中,按一下 [管理]功能表,然後按一下 [新增角色和功能]。
- 在 [ 新增角色和功能 精靈] 中,按 [下一步]。 選取安裝類型,然後按 [ 下一步]。 選取目的地伺服器,然後按 [ 下一步]。
- 在 [ 伺服器角色] 頁面上,依序展開 [Web 服務器] ([IIS) ]、[ 網頁伺服器]、[ 安全性],然後選取 [ 要求篩選]。 按一下 [下一步] 。
![此螢幕擷取畫面顯示 Windows Server 2012 或 2012 R 2 展開的安全性 (已安裝) 清單。已醒目提示 [要求篩選] ([已安裝) ]。](index/_static/image1.png)
. - 在 [選取功能] 頁面上,按 [下一步]。
- 在 [確認安裝選項] 頁面上,按一下 [安裝]。
- 在 [結果] 頁面上,按一下 [關閉]。
Windows 8 或Windows 8.1
- 在 [開始] 畫面上,將指標全部移至左下角,以滑鼠右鍵按一下 [開始] 按鈕,然後按一下[主控台]。
- 在主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。
- 展開 [網際網路資訊服務]、[ 萬維網服務]、[ 安全性],然後選取 [ 要求篩選]。
- 按一下 [確定]。
- 按一下 [關閉] 。
Windows Server 2008 或 Windows Server 2008 R2
- 在工作列上,按一下 [開始],指向 [系統管理工具],然後按一下[伺服器管理員]。
- 在[伺服器管理員階層] 窗格中,展開 [角色],然後按一下 [Web 服務器] (IIS) 。
- 在 [Web 服務器 (IIS) ] 窗格中,捲動至 [ 角色服務 ] 區段,然後按一下 [ 新增角色服務]。
- 在 [新增角色服務精靈] 的 [選取角色服務] 頁面上,選取 [要求篩選],然後按 [下一步]。
![Windows Server 2008 或 2008 R 2 [新增角色服務] 視窗的螢幕擷取畫面。要求篩選已醒目提示。](index/_static/image5.png)
- 在 [確認安裝選項] 頁面上,按一下 [安裝]。
- 在 [結果] 頁面上,按一下 [關閉]。
Windows Vista 或 Windows 7
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 在主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。
- 展開 [Internet Information Services],然後展開 [萬維網服務],然後展開 [安全性]。
- 選取 [要求篩選],然後按一下 [ 確定]。
![[Windows Vista] 或 [Windows 7 功能] 對話方塊的螢幕擷取畫面。要求篩選已醒目提示。](index/_static/image7.png)
作法
IIS 7.0 使用者的注意事項:本節中的某些步驟可能需要您安裝適用于 IIS 7.0 的 Microsoft 系統管理元件,其中包含要求篩選的使用者介面。 若要安裝適用于 IIS 7.0 的 Microsoft 系統管理元件,請參閱下列 URL:
如何拒絕 URL 序列
(IIS) 管理員開啟 Internet Information Services:
如果您使用 Windows Server 2012 或 Windows Server 2012 R2:
- 在工作列上,依序按一下 [伺服器管理員]、[工具],然後按一下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows 8 或 Windows 8.1:
- 按住Windows鍵,按字母X,然後按一下[主控台]。
- 按一下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows Server 2008 或 Windows Server 2008 R2:
- 在工作列上,按一下 [ 開始],指向 [ 系統管理工具],然後按一下 [ Internet Information Services (IIS) 管理員]。
如果您使用 Windows Vista 或 Windows 7:
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 按兩下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
在 [ 連線 ] 窗格中,移至您要修改要求篩選設定的連線、月臺、應用程式或目錄。
在 [ 首頁] 窗格中,按兩下 [ 要求篩選]。
![[I S 管理員] 視窗的螢幕擷取畫面。[要求篩選] 圖示會反白顯示。](index/_static/image9.png)
在 [要求篩選]窗格中,按一下 [拒絕 URL 序列] 索引標籤,然後按一下 [動作] 窗格中的 [新增 URL 順序...]。
![顯示主要窗格中 [要求篩選] 的 [I S 管理員] 視窗螢幕擷取畫面。](index/_static/image11.png)
在 [ 新增拒絕順序 ] 對話方塊中,輸入您想要封鎖的 URL 順序,然後按一下 [ 確定]。
![[新增拒絕順序] 對話方塊的螢幕擷取畫面。](index/_static/image13.png)
例如,若要防止伺服器上的目錄轉譯,您會輸入兩個期間 (「。」在對話方塊中) 。
組態
專案的 <denyUrlSequences> 元素 <requestFiltering> 是在月臺、應用程式或目錄層級設定。
屬性
無。
子元素
| 元素 | 描述 |
|---|---|
add |
選擇性項目。 將序列新增至拒絕 URL 序列的集合。 |
clear |
選擇性項目。 從 <denyUrlSequences> 集合中移除序列的所有參考。 |
remove |
選擇性項目。 從集合中移除序列的 <denyUrlSequences> 參考。 |
組態範例
下列範例Web.config檔案會拒絕存取三個 URL 序列。 第一個序列會防止目錄轉譯,第二個序列會防止存取替代資料流程,而第三個序列可防止在 URL 中使用反斜線。
<configuration>
<system.webServer>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence=".." />
<add sequence=":" />
<add sequence="\" />
</denyUrlSequences>
</requestFiltering>
</security>
</system.webServer>
</configuration>
下列範例說明元素和 <alwaysAllowedUrls> 專案的組合,如果其中一個 <denyUrlSequences> 包含兩個特定字元序列,則會拒絕任何 URL,但一律允許特定 URL,其中包含特定順序的這兩個特定字元序列。
<system.webServer>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence="bad" />
<add sequence="sequence" />
</denyUrlSequences>
<alwaysAllowedUrls>
<add url="/bad_sequence.txt" />
</alwaysAllowedUrls>
</requestFiltering>
</security>
</system.webServer>
範例程式碼
下列程式碼範例示範如何拒絕對預設網站的三個 URL 序列的存取:目錄轉譯 (」。) 、替代資料流程 (「:」) 和反斜線 (「」) 。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='..']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence=':']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='\']"
PowerShell
Start-IISCommitDelay
$denyUrlSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyUrlSequences'
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '..' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = ':' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '\' }
Stop-IISCommitDelay
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElementCollection denyUrlSequencesCollection = requestFilteringSection.GetCollection("denyUrlSequences");
ConfigurationElement addElement = denyUrlSequencesCollection.CreateElement("add");
addElement["sequence"] = @"..";
denyUrlSequencesCollection.Add(addElement);
ConfigurationElement addElement1 = denyUrlSequencesCollection.CreateElement("add");
addElement1["sequence"] = @":";
denyUrlSequencesCollection.Add(addElement1);
ConfigurationElement addElement2 = denyUrlSequencesCollection.CreateElement("add");
addElement2["sequence"] = @"\";
denyUrlSequencesCollection.Add(addElement2);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim denyUrlSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyUrlSequences")
Dim addElement As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
addElement("sequence") = ".."
denyUrlSequencesCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
addElement1("sequence") = ":"
denyUrlSequencesCollection.Add(addElement1)
Dim addElement2 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
addElement2("sequence") = "\"
denyUrlSequencesCollection.Add(addElement2)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection;
var addElement = denyUrlSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "..";
denyUrlSequencesCollection.AddElement(addElement);
var addElement1 = denyUrlSequencesCollection.CreateNewElement("add");
addElement1.Properties.Item("sequence").Value = ":";
denyUrlSequencesCollection.AddElement(addElement1);
var addElement2 = denyUrlSequencesCollection.CreateNewElement("add");
addElement2.Properties.Item("sequence").Value = "\\";
denyUrlSequencesCollection.AddElement(addElement2);
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection
Set addElement = denyUrlSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = ".."
denyUrlSequencesCollection.AddElement(addElement)
Set addElement1 = denyUrlSequencesCollection.CreateNewElement("add")
addElement1.Properties.Item("sequence").Value = ":"
denyUrlSequencesCollection.AddElement(addElement1)
Set addElement2 = denyUrlSequencesCollection.CreateNewElement("add")
addElement2.Properties.Item("sequence").Value = "\"
denyUrlSequencesCollection.AddElement(addElement2)
adminManager.CommitChanges()