本文介绍了如何解决IIS服务器接收到包含'~'字符的文件路径请求时的问题,以及如何配置IIS以防止HOST头攻击。针对IIS6.0和IIS7.0以上分别提供了解决方案,包括使用URLScan和URLWriter工具,并给出了相应的配置步骤和web.config文件的规则设置。通过这些配置,可以增强服务器的安全性,阻止不合法的请求。
短文件名原因:当IIS接收到一个文件路径中包含~的请求时,根据文件是否存在返回值是不同的
解决办法:
IIS 6.0可以安装urlscan,配置禁止url中含有“~”;
IIS 7.0以上可以安装URLWriter工具,配置禁止url中含有“~”;
Url Writer配置
在 webconfig的<system.webServer>节点中加入
<rewrite>
<rule name="RequestBlockingRule2" patternSyntax="Wildcard" stopProcessing="true">
<match url="*" />
<conditions>
<add input="{URL}" pattern="*~*" />
</conditions>
<action type="CustomResponse" statusCode="403" statusReason="Forbidden: Access is denied." statusDescription="You do not have permission to view this directory or page using the credentials that you supplied." />
</rule>
</rules>
</rewrite>
配置上这一句可以解决 HOST头攻击的漏洞
```xml
<rule name="RequestBlockingRule1" patternSyntax="Wildcard" stopProcessing="true">
<match url="*" />
<conditions>
<add input="{HTTP_HOST}" pattern="你服务器的请求头" />
</conditions>
<action type="CustomResponse" statusCode="403" statusReason="Forbidden: Access is denied." statusDescription="You do not have permission to view this directory or page using the credentials that you supplied." />
</rule>
扫一扫
243
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
