URLScan 是一个可供网站管理员使用的加载项工具。管理员可以控制 URLScan 的操作并限制服务器处理的 HTTP 请求的类型。
默认安装 UrlScan 会,会禁用 Web 服务扩展 – Active Server Pages,当手工启用时,也不可用,在UrlScan的配置文件中 UrlScan.ini 默认的选项也会禁止使用一些扩展(让我调试了好半天,以为UrlScan 和 asp ISAPI 有冲突),以下为默认禁止扩展选项:
<span style="font-family:'Microsoft YaHei'; font-size:13px">; Deny ASP requests<br />.asp<br />.cer<br />.cdx<br />.asa</span>
|
这样一般会禁止掉某些 cer,asa 之类未过滤的上传漏洞。
还有一些选项可以禁止掉 TRACE 请求,RemoveServerHeader 选项可以删除请求包中的IIS版本信息(Server: Microsoft-IIS/6.0
),以及IIS 目录解析漏洞:http://www.woyigui.cn/test.asp/1.txt 该请求会被阻止。
Link:
下载UrlScan: http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe
下载完后用: iislockd.exe /q /c 命令提取 UrlScan 安装程序。
如何使用 URLScan http://msdn.microsoft.com/zh-cn/library/aa302368.aspx
如何配置 URLScan 工具: http://support.microsoft.com/kb/326444/zh-cn
对 IIS 使用 URLScan: http://support.microsoft.com/default.aspx?scid=307608
