Фильтрация запросов IIS - зачем фильтровать строки запросов

Question

Фильтрация запросов IIS - зачем фильтровать строки запросов

В IIS7 & 8 Фильтрация запросов у вас могут быть правила, разрешающие или запрещающие URL и QueryString.

Я понимаю, почему вы хотели бы заблокировать последовательности, которые входят с векторами атаки, такими как drop или же document.cookie но как узнать, какие строки запросов нужно блокировать, кроме как разрешить те, которые вы знаете, и заблокировать все остальное?

Кто-нибудь получил какие-либо отзывы или ссылки на лучшие практики?

0

iis iis-7 url querystring request-filtering

Источник

DomBat 21 май '15 в 12:34

1 ответ

Решение

Другие вопросы по тегам iis iis-7 url querystring request-filtering

DomBat 21 май '15 в 13:01 2015-05-21 13:01 · Accepted Answer · 2015-05-21 13:01

Хорошо, в справке он ссылается на старые сценарии функций UrlScan, но здесь есть ссылка на обновленные сценарии. Использование расширенных функций фильтрации запросов в IIS7

В двух словах: вы можете разрешить только URL /login.aspx а также /default.aspx - они будут помещены в раздел разрешенного URL.

Кроме того, вы можете разрешить строку запроса Allow=true но запретить любую строку запроса, которая включает в себя последовательность .. или же ./