• 24小时服务热线:
  • 0838-6611186


☞ 您的位置:首页 › > 网络安全

URLScan 配置参考
          发布日期:2019-11-7 18:21:25 人气: 标签:urlscan 配置
      URLScan Tool是一款IIS的安全辅助工具,它可以帮助管理员来加强服务器的安全,它先于iis对用户的请求进行处理,从而使得各项请求符合管理员的规则设置,极大的预防和封堵住各项漏洞的利用和入侵。
urlscan.ini的配置参考和说明如下:
UseAllowVerbs=1 
允许的方法=1,如果是1,将使用[AllowVerbs]反之将使用 [DenyVerbs]。默认是1
UseAllowExtensions=0
允许使用的扩展名=0,如果是1,将使用[AllowExtensions] , 反之[DenyExtensions] 将起作用.默认为0
NormalizeUrlBeforeScan=1
扫描前标准化URL=1,如果是1,在处理前先标准化URL,默认为1,注意:如果设置为0 将使得扩展名和URL检查不可靠,
所以除非是测试,不然建议不要设置为其他值
VerifyNormalization=1
核实标准化=1,如果是1,将2次标准化URL并且如果发生变化将拒绝请求。默认值为1
AllowHighBitCharacters=0
允许使用高位编码=0,如果是1,URL中将允许使用高位编码(如UTF8或者MBCS)。默认为0
AllowDotInPath=0
允许在路径中使用点=0.如果是1,路径中允许使用“.”,而不作为扩展名部分。默认为0,注意:如果设置为1将使扩展名检查不可靠,
所以除非是测试,不然建议不要设置为其他值
RemoveServerHeader=0
移除服务头=0.如果是1,将溢出请求中的服务头,默认为0
EnableLogging=1 
启用日志=1.如果是1,将启动urlscan日志,重启后生效。
PerProcessLogging=0
为每一个进程生成日志文件,重启urlscan后生效
AllowLateScanning=0
如果是1,urlscan将以较低的优先权过滤器运行。默认为0.需要注意的是仅仅在已经安装的过滤器修改地址而你希望urlscan应用规则去重
写地址是使用。重启生效
PerDayLogging=1 
如果是1,urlscan将每天生成一个新的日志,比如 'UrlScan.010101.log'。如果是o,urlscan将生成日志到urlscan.log。默认为1,重启生效。
UseFastPathReject=0
如果是1,urlscan将不会使用RejectResponseUrl(拒绝响应地址)。需要IIS6.0以上版本,这也将阻止iis把拒绝的请求写入W3SVC日志。
这里不管是否设置urlscan都将把拒绝的请求写入日志。默认为0.
LogLongUrls=0
这个属性对urlscan3.0即以后的版本无效,他们已经把完整的路径写入日志中了。
UnescapeQueryString=1
如果是1,urlscan将对原始字串和过滤后的字串这2种方式都进行处理。
如果是0,urlscan将仅仅检查客户端发送的原始字串。默认为1.注意:如果设置为0,那么基于请求字串的检查将不可靠。
RejectResponseUrl=
当UseFastPathReject=0时,这项设置生效。注意:象这种设置"RejectResponseUrl=/~*"将使urlscan使用日志模式。他仅仅记录下结果而并不拒绝请求。
LoggingDirectory=Logs
设置日志的存放路径,比如c:\some\path,默认存放在与UrlScan.dll相同文件夹下
AlternateServerName=
如果RemoveServerHeader=0,原来的服务头被清除,这里可以重新设置服务头内容。
[RequestLimits]
MaxAllowedContentLength=30000000
MaxUrl=260
MaxQueryString=2048
限制最大内容长度,url最大长度,最大请求字串
[AllowVerbs]
GET
HEAD
POST
允许的http方法,当UseAllowVerbs=1时,设置生效
[DenyVerbs]
PROPFIND
PROPPATCH
MKCOL
Delete
PUT
COPY
MOVE
LOCK
UNLOCK
OPTIONS
SEARCH
拒绝的http方法,当UseAllowVerbs=0时生效。
[DenyHeaders]
Translate:
If:
Lock-Token:
Transfer-Encoding:
拒绝的文件头
[AllowExtensions]
.asp
.htm
.html
.txt
.jpg
.jpeg
.gif
.png
.rar
.asa
允许的扩展名,当UseAllowExtensions=1时生效,如果默认是没有.asp的,如果是动态asp网站一定要加上。这样的话,即使安装了php运行环境,php网页也无法打开
[DenyExtensions]
; Deny executables that could run on the server
.exe
.bat
.cmd
.com
.src
; Deny infrequently used scripts
.htw     ; Maps to webhits.dll, part of Index Server
.ida     ; Maps to idq.dll, part of Index Server
.idq     ; Maps to idq.dll, part of Index Server
.htr     ; Maps to ism.dll, a legacy administrative tool
.idc     ; Maps to httpodbc.dll, a legacy database access tool
.shtm    ; Maps to ssinc.dll, for Server Side Includes
.shtml   ; Maps to ssinc.dll, for Server Side Includes
.stm     ; Maps to ssinc.dll, for Server Side Includes
.printer ; Maps to msw3prt.dll, for Internet Printing Services
; Deny various static files
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files
.config  ; Configuration files
当UseAllowExtensions=0时生效,拒绝的扩展名,
[AlwaysAllowedUrls]
总是允许的url,比如/SampleURL.htm
[DenyUrlSequences]
..  ; Don't allow directory traversals
./  ; Don't allow trailing dot on a directory name
\   ; Don't allow backslashes in URL
:   ; Don't allow alternate stream access
%   ; Don't allow escaping after normalization
&   ; Don't allow multiple CGI processes to run on a single request
任何url包含了这些字串都将被拒绝。
[AlwaysAllowedQueryStrings]
总是允许的字串
[DenyQueryStringSequences]
<   ; Commonly used by script injection attacks
>   ; Commonly used by script injection attacks
任何请求字串中出现这些字符都将被拒绝。他们常被用于脚本攻击
如果想让中文文件名的下载链接生效请设置AllowHighBitCharacters=1