服务器安全设置(十五)

二、URLScan Tool――过滤非法URL访问

仔细观察IIS的漏洞，我们几乎可以得出这样一个结论，所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站，一般有以下几种类型的URL可以利用漏洞：

１、特别长的URL，比如红色代码攻击网站的URL就是这样：

GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；

２、特殊字符或者字符串的URL，比如在URL后面加::$DATA可以看到网页（ASP）源代码；

３、URL中含有可执行文件名，最常见的就是有cmd.exe；

既然这些攻击利用特殊的URL来实现，所以，微软提供了这款专门过滤非法URL的安全工具，可以达到御敌于国门之外的效果，这款工具有以下特点和功能：

１、基本功能：过滤非法URL请求；

２、设定规则，辨别那些URL请求是合法的；这样，就可以针对本网站来制定专门的URL请求规则；同时，当有新的漏洞出现时，可以更改这个规则，达到防御新漏洞的效果；

３、程序提供一套URL请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则；

（一）、软件的下载与安装

URLScan可以在微软的网站上下载，地址如下：

http://download.microsoft.com/downl...-US/UrlScan.exe

和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在System32/InetSvr/URLScan目录下找到以下文件：

urlscan.dll：动态连接库文件；
urlscan.inf：安装信息文件；
urlscan.txt：软件说明文件；
urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。

（二）、软件的配置

软件的配置由urlscan.ini文件来完成，在配置此文件以前，我们需要了解一些基本知识。

１、urlscan配置文件的构造形式

        urlscan配置文件必须遵从以下规则：

（1）此文件名必须为urlscan.ini；

（2）配置文件必须和urlscan.dll在同一目录；

（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；