Bejövő kérések szűrése IIS 7 alatt

Az IIS 6-ban az URL Scan bővítmény számos alkalmazást megcélzó buffer overrun jellegű támadás ellen nyújtott védelmet, melyek az URL-ek vagy az URL paraméterek (query string) hibás feldolgozását használták ki. Az IIS 7-ben a továbbfejlesztett, alapértelmezés szerint beépített és működő Request Filtering modul látja el ugyanezt a feladatot. Az IIS 7 Request Filtering modulja lehetővé teszi a beérkező kérésekre vonatkozóan bizonyos kényszerek meghatározását, amelyek segítségével megvédhetjük alkalmazásainkat a kérés rossz szándékú formázásával elért néhány tipikus támadási formától.

IIS 7 request filtering A Request Filtering modul segítségével az alábbiakat tudjuk beállítani:

  • A kérés méretének korlátozása: az URL, a query string, egyes fejlécek és a teljes kérés hossza, az URL-ben használható karakterek kódolása és a használható HTTP parancsok (verb).
  • Kiterjesztések korlátozása: a handler mappingtől függetlenül megadható, hogy milyen kiterjesztésű fájlokat érhetnek el a kliensek és melyeket nem.
  • Rejtett URL szegmensek: megadható, hogy mely URL szegmenseket nem lehet a kliensről elérni (pl. App_Code mappa).
  • Tiltott URL minták: megadható, hogy milyen szekvenciák nem szerepelhetnek az URL-ben.

Az IIS 7 alapértelmezett telepítésekor nem kapunk grafikus IIS Managerbeli felhasználói felületet a request filtering beállításához, a konfigurálást vagy közvetlenül a konfigurációs fájlokban vagy az appcmd.exe segítségével kell elvégeznünk.

Demó

A demóban az Administration Pack for IIS 7.0 segítségével, az IIS Managerbe épülő grafikus felületen keresztül mutatjuk be a request filtering modul szolgáltatásait.

IIS 7 kérések szűrése

Letöltés: Keresek szurese.wmv (13:52, 62.3 MB)

Első lépések

Az IIS 7 Request Filtering modullal leggyorsabban úgy ismerkedhetünk meg, ha letöltjük és telepítjük az Administration Pack for IIS 7.0 bővítményt, amely az IIS Managerbe beépülő grafikus felhasználói felületet ad a request filtering paramétereinek konfigurálásához.

Jó tudni

Amennyiben a request filtering modul valamelyik szabálya miatt meghiúsul egy kérés feldolgozása, az alábbi hibakódokkal értesíti a webkiszolgáló a klienst:

Error Status Codes
Site not found 404.1
Denied by policy 404.2
Denied by mime map 404.3
No handler 404.4
Request Filtering: URL Sequence denied 404.5
Request Filtering: Verb denied 404.6
Request Filtering: File extension denied 404.7
Request Filtering: Denied by hidden segment 404.8
Denied since hidden file attribute has been set 404.9
Request Filtering: Denied because request header is too long 404.10
Request Filtering: Denied because URL doubled escaping 404.11
Request Filtering: Denied because of high bit characters 404.12
Request Filtering: Denied because content length too large 404.13
Request Filtering: Denied because URL too long 404.14
Request Filtering: Denied because query string too long 404.15

További információk


wmv 08_IIS7_Keresek_szurese_(Balassy_Gyorgy).wmv (63815 kB) Lejátszás böngészőben »


Balássy György (MS RD, ASP.NET MVP, MCTS)

Balássy György (MS RD, ASP.NET MVP, MCTS) Villamosmérnök, a BME Automatizálási és Alkalmazott Informatikai Tanszékén webportálok fejlesztését oktatja. 2000 óta foglalkozik a Microsoft .NET platformjával, melynek meghonosításában jelentős szerepet vállalt előadóként, konzulensként és A .NET Framework és programozása című könyv társszerzőjeként. Az MSDN Kompetencia Központon belül a Portál Technológiák Csoport vezetője, szakterülete web alapú rendszerek fejlesztése és üzemeltetése. 2004-ben Magyarországon elsőként kapta meg a Most Valuable Professional címet, majd 2005 óta a Microsoft magyarországi regionális igazgatója. Publikációi a Technet Magazinban, az MSDN Kompetencia Központ honlapján és szakmai blogjában olvashatóak.

2009.08.30. 9:32:42 | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,


  • Web Slice készítése Alternative Display Source fejlesztési minta használatával (19:25)

    Fekete Krisztián A Web Slice-al foglalkozó sorozatunk előző két részében megismert fejlesztési mintákkal létrehozott Web Slice-ok testreszabhatóságának sajnos vannak korlátjai. Ezekben a web szeletekben nem használhatunk scripteket (pl.: JavaScriptet), illetve ActiveX kontrolokat sem. Nem esett szó továbbá eddig a Web Slice-ok dizájnolhatóságáról sem. A standard valamint az Alternative Update Source módszerekkel készített web szeletek esetén ez utóbbi téren is kompromisszumok kötésére kényszerülünk. Az Alternative Display Source minta azonban az összes imént említett problémára kínál valamilyen alternatív megoldást. Tovább »
  • Hány kötelező attribútuma van egy ASP.NET vezérlőnek?

    Balássy György (MS RD, ASP.NET MVP, MCTS) A Visual Studio szerint kettő. Szerintem egy. Tovább »


Írja meg Ön is véleményét!


Hozzászólásokat csak regisztrált, bejelentkezett felhasználóktól tudunk elfogadni!

Hozzászólások