[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139:00676] Re: URLScan Security Tool

To: port139@xxxxxxxxxxxxx
Subject: [port139:00676] Re: URLScan Security Tool
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Thu, 13 Sep 2001 17:52:15 +0900

Port139 伊原です。

URLscan.ini ファイルで定義可能な内容に関するメモです。
間違っている点などありましたらご指摘ください。

Hideaki Ihara さんは書きました:
>MS からまた新たに URLScan Security Tool がリリースされていますね。
>http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32571

■[options] セクション
URLScan Security Tool 全体の動作を定義するセクション。
数値はデフォルト値。

UseAllowVerbs=1
  [AllowVerbs] セクション利用時は1、[DenyVerbs] セクション利用時は0
UseAllowExtensions=0
  [AllowExtensions] セクション利用時は1、[DenyExtensions] セクション
  利用時は0
NormalizeUrlBeforeScan=1
  URLscan が処理する前に URL を IIS が標準化する場合には 1 を設定
  0 を設定した場合には生の URL を URLscan が処理するので注意。
VerifyNormalization=1
  URL の標準化を再度チェックし、二重にエンコードされたキャラクタを
  チェックする。例)"%252e" -> "%2e" -> "."
AllowHighBitCharacters=1
  1 を設定した場合、UTF8 または MBCS といったキャラクタが URL に含
  まれることを許可する。0 を設定した場合 ASCII キャラクタセット以外
  の文字が含まれるリクエストはリジェクトされる。
AllowDotInPath=0
  1 を設定した場合、複数の'.'を含む要求はリジェクされる。
RemoveServerHeader=0
  Server ヘッダをレスポンスから削除する場合には 1 を設定
EnableLogging=1
  URLscan の動作を記録する場合には1 (\Inetsrv\urlscan\urlscan.log)
PerProcessLogging=0
  ログのファイル名にPIDを含める場合には 1 を設定
AllowLateScanning=0
  1 を設定した場合、URLscan の ISAPI フィルタは低い優先度で登録さ
  れる。0 を設定した場合、高い優先度で ISAPI フィルタが登録される。
  FrontPage Server 機能拡張は、この設定が 1 であることを要求する。
AlternateServerName=文字列
  RemoveServerHeaderが 0 で設定されている場合、'Server'ヘッダとして
  送信する文字列を指定

■[AllowVerbs]と[DenyVerbs] セクション
UseAllowExtensionsで制御。デフォルトは[AllowVerbs]セクションが利用
されるように定義されている。
ここに許可or許可しないverbs (HTTP methods) を定義する。
[AllowVerbs]セクションのデフォルトでは GET、HEAD、POST が許可される
ように定義されている。FrontPage を利用する場合には注意。

■[DenyHeaders] セクション
許可しないリクエスト ヘッダを定義する。
デフォルトでは以下のヘッダが定義されている。
Translate:
If:
Lock-Token:

■[AllowExtensions]と[DenyExtensions] セクション
UseAllowExtensionsで制御。デフォルトは[DenyExtensions]セクションが
利用されるように定義されている。
ここに許可or許可しない拡張子を定義する。
デフォルトで有効な[DenyExtensions]セクションには以下の拡張子が許可
されない拡張子として定義されている。
.exe .bat .cmd .com .ini .log .pol .dat
.htw .ida .idq .htr .idc .shtm .shtml .stm .printer

■[DenyUrlSequences] セクション
デフォルトでは以下の文字が許可されないシーケンスとして定義されて
いる。
 '..' './' '\' ':' '%' '&' 



---
セキュリティスタジアム 2001 9月19日～22日開催!
http://sec-stadium.hawkeye.ac/

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

References:
- [port139:00675] URLScan Security Tool
  - From: Hideaki Ihara

Prev by Date: [port139:00675] URLScan Security Tool
Next by Date: [port139:00677] Re: ポート 1025 番は mst ask.exeが使ってる?
Previous by thread: [port139:00675] URLScan Security Tool
Next by thread: [port139:00678] 本日競技参加者締切
Index(es):
- Date
- Thread