urlScan 配置阻止sql注入
工具
urlscan_v31_x64
urlscan_v31_x86
URLScan是一个IIS下的ISAPI 筛选器,它能够限制服务器将要处理的HTTP请求的类型。通过阻止特定的 HTTP 请求,URLScan 筛选器可以阻止可能有害的请求到达服务器并造成危害,urlScan 3.1支持IIS6、IIS7。
URLScan配置文件在 C:\Windows\System32\inetsrv\urlscan
下面是配置文件的说明
UseAllowVerbs=1
; 允许的请求的HTTP类型;
; 如果设置为 1,则[AllowVerbs]生效;
; 如果设置为 0,则[AllowVerbs]生效。
UseAllowExtensions=0
; 允许请求的后缀类型;
; 如果设置为 0,则[DenyExtensions]生效;
; 如果设置为 1,则[AllowExtensions]生效。
NormalizeUrlBeforeScan=1
; 扫描标准化URL之前。
VerifyNormalization=1
; 查证标准化URL。
AllowHighBitCharacters=1
; 如果设置为 1,将允许URL中存在所有字节;
; 如果设置为 0,含有非ASCII字符的URL将拒绝(如UTF8或者MBCS)。
AllowDotInPath=0
; 如果设置为0,则URLScan 拒绝所有包含多个句点 (.) 的请求。
RemoveServerHeader=0
;设置为1可隐藏服务器信息。
EnableLogging=1
; 开启日志记录
PerProcessLogging=0
; 如果设置为0,为每个进程创建日志文件。
AllowLateScanning=0
; 如果设置为 0,则 URLScan 作为高优先级筛选器运行。
PerDayLogging=1
; 如果设置为 1,则URLScan每天创建一个新的日志文件。
UseFastPathReject=0
; 如果设置为 1,则 URLScan 忽略 RejectResponseUrl 设置并立即向浏览器返回 404 错误信息。
; 如果设置为 0,则 URLScan 使用 RejectResponseUrl 设置来返回请求。
LogLongUrls=0
; 这个属性是UrlScan 3.0及以后的弃用。UrlScan禁止3.0及以后总是包括完整的日志文件的URL。
UnescapeQueryString=1
;如果设置为1,UrlScan将执行两个传递查询字符串扫描后与原始查询字符串和一次unescaping
;如果设置为0,UrlScan禁止只会看看原始客户端发送的查询字符串
RejectResponseUrl=
; 设置用于返回的Url路径
AlternateServerName=
; 如果将 RemoveServerHeader设为0,此可自定义服务器关信息。
; 如果将 RemoveServerHeader设为1,则此选项将被忽略。
[AlwaysAllowedUrls]
;
; 这里列出的url将永远是显式地允许UrlScan禁止并将绕过所有UrlScan禁止检查。列出的url必须用“/”字符。例如:
;
; /SampleURL.htm
;
[DenyUrlSequences]
;
; 如果任何字符序列列在这里出现在任何的URL请求,该请求将被拒绝。
;
.. ; 不允许目录遍历
./ ; 不允许拖点目录名称
\ ; 不允许反斜杠的URL
: ; 不允许交替流的访问
% ; 不允许正常化后溢出
& ; 不允许多个CGI进程在单个请求中运行
在参数中过滤sql注入的一些关键字
[DenyQueryStringSequences]
;
;如果任何字符序列这里列出在查询字符串中出现任何请求,该请求将被拒绝。
;
下面是一些常用的关键字就不一一列举了
< ; 常用的脚本注入攻击
> ;
-- ;
delete ;
select ;
注意:设置好这些以后需要重启一下iis,urlscan才能生效
最近有看到了一个防止注入的软件
地址 http://www.safedog.cn/install_desc_website.html
说明文档 http://www.safedog.cn/download/software/safedogwz_Windows_Help.pdf
参考 http://blog.csdn.net/huwei2003/article/details/6259757
转载于:https://www.cnblogs.com/ZJ199012/p/3926801.html
urlScan 配置阻止sql注入相关推荐
- html页面 sql注入,使用html仅阻止SQL注入
在使用Javascript/HTML,以提高安全性 是有办法做到这一点在HTML 号正如其他人所指出的那样,你不能做任何事情提高安全性你的HTML或Javascript. 原因是您的浏览器和您的服务器 ...
- druid监控配置及sql注入防火墙配置
转载自https://www.cnblogs.com/heartlifes/p/6971015.html 原文及更多文章请见个人博客:http://heartlifes.com druid是阿里巴巴开 ...
- sql注入及mybatis防止sql注入
一.Sql 注入漏洞详解 Sql 注入产生原因及威胁: 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句.这种网站内部直接发送的Sql ...
- 如何修复会话固定漏洞_PHP安全漏洞:会话劫持,跨站点脚本,SQL注入以及如何修复它们...
如何修复会话固定漏洞 PHP中的安全性 (Security in PHP) When writing PHP code it is very important to keep the followi ...
- mysql注入内置函数_PHP面试之mysql内置函数,xss漏洞,sql注入
面试被问到: 1. MySql有哪些常用聚合函数: count().sum().max().min().avg().group_concat() mysql还有常用的函数: (1)数值函数: Abs( ...
- sql 注入 预防_SQL注入:检测和预防
sql 注入 预防 摘要 (Summary) With an understanding of what SQL injection is and why it is important to an ...
- Java安全-注入漏洞(SQL注入、命令注入、表达式注入、模板注入)
文章目录 注入 SQL注入 JDBC拼接不当造成SQL注入 框架使用不当造成SQL注入 不安全的反射 命令注入 代码注入 表达式注入 Spel表达式注入 OGNL表达式注入 模板注入 注入 SQL注入 ...
- 实例讲解SQL注入攻击
转载地址:http://www.csdn.net/article/2015-01-13/2823533-SQL allowtransparency="true" framebord ...
- MyBatis以及Druid 防止sql注入攻击
SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者).[摘自] SQL injection - Wikipedia SQL ...
最新文章
- 总帐科目字段选择存储在表 T004F 中;科目分配存储在表 T162K 中。
- 计算机检索基础知识,[转载]四 计算机文献检索基础知识(原理、结构和功能)...
- tomcat 请求超时_高并发环境下如何优化Tomcat性能?看完我懂了!
- iOS 实现启动屏动画(Swift实现,包含图片适配)
- Python中and、or、not用法
- enum java 判断相等_聊一聊Java的枚举enum
- LeetCode 141. Linked List Cycle 判断链表是否有环 C++/Java
- Nginx搭建视频流媒体服务(直播点播)
- Android 中Goolgle 相关服务的移植[转]
- html中b和strong的区别,i和em的区别
- jacob实现ppt转图片时存在的问题
- vue 所有dom加载完毕后操作dom节点
- android pos机打印
- html5 自动格式化,VSCode插件JS-CSS-HTML Formatter自动格式化代码
- html调用一言api,纯 JavaScript 实现网站一言功能
- 86. 闭锁 CountDownLatch
- 常用电源管理稳压IC
- 雅虎出售仍有吸引力 日本软银和阿里皆有兴趣
- PaymentsCloud怎么样
- ICN(Information centric networking)体系结构和技术实现
热门文章
- php微信开发例子,微信开发实战之知乎日报
- c++数据结构中 顺序队列的队首队尾_数据结构 3.3 顺序队
- 记数据结构MOOC-二叉树
- windows配置nginx实现负载均衡集群
- 常见开源协议!【科普】
- SEO小程:医院网站优化之如何分析竞争对手的网站
- delphi SAP
- 学习 TTreeView [15] - 连接数据库 (作为给 丁永其 和 DELPHI万岁 两位朋友的回复)...
- 解决springboot读取jar包中文件的问题
- 【Https异常】This request has been blocked; the content must be served over HTTPS