request-filtering
按动词和段或 URL 过滤请求(IIS 7.5)
如何过滤对指定 URL 的 POST 请求? example.com/id123456789 永久部分在哪里example.com/id example.com/id123456789/smth 永久部分在哪里example.com/id.../smth ...
request-filtering
request-filtering
Apache LimitExcept GET 到 IP 地址但拒绝其他 IP 的所有方法
Order我在 Apache 的 vhost 配置中正确获取指令时遇到了一些问题。 我想完全拒绝某些 IP 地址对整个虚拟主机的访问。这些 IP 地址之前已被标记为恶意。 我还想拒绝除我们的内部 IP 范围之外的所有 IP 地址的 GET 和 HEAD 以外的所有请求。 我对第一个指令感到困惑Directory,不知道如何最好地安排它与Order指令的关系。 这是我目前所得到的,但它似乎不起作用,所以我想得到一些关于如何最好地订购这个块的建议...... NameVirtualHost *:80 <VirtualHost *:80> ...
request-filtering
根据 URL 中的脚本进行重写
使用 Apache 2.2.x -- 我通常使用动态创建的带有违规 IP 的“拒绝”列表来阻止脚本小子在服务器上查找各种脚本。虽然有效,但总是至少落后一步。 因此,考虑使用 mod_rewrite 实时发送恶意用户在其他地方寻找特定脚本的消息(具体来说,强制出现 403 错误)。我尝试了几种方法,但似乎不起作用。例如,假设脚本是 evildoing.php。某个地方的某个脚本小子运行机器人在我的服务器上寻找此脚本——例如,URL 可能是http://www.myserver.com/evildoing.php。因此,在 httpd.conf 中, <I...
request-filtering
允许特定文件并阻止其余文件
我尝试在 iis 10 中允许特定文件 MED.exe启动MED.exe 并使用请求过滤来阻止 exe 扩展 请求过滤 但我得到了这个错误 错误信息 ...
request-filtering
在 IIS 请求过滤中,字符串的大小写重要吗?
在 IIS 中的“编辑过滤规则”对话框中,字符串的大小写是否cast(重要? 我们看到 SQL 注入攻击尝试将字符串以各种大小写组合的形式呈现,例如cAsT(。我们需要具体说明吗?我期望模块不会要求人们考虑所有可能的组合,但我找不到任何在线文章明确说明这一点 ...
request-filtering
IIS 8 请求过滤可以检查/过滤表单帖子吗?
我的服务器经常受到恶意脚本的攻击(来自不同的地理位置,因此 IP 过滤无效) 幸运的是,我已经确定了一些常见的表单发布值,并希望过滤来自我的 IIS 8.0 服务器的请求。 请求过滤似乎是前进的方向,但据我所知,它仅适用于查询字符串和 URL。 我错了吗?如能得到任何帮助我将不胜感激,谢谢! ...
request-filtering
如何禁止访问除少数文件之外的文件类型
有没有办法配置 IIS 以禁止提供某种类型的文件,但仍允许提供特定数量的文件?我需要禁止访问 .property 文件,但其中有一些文件仍需要提供。我可以使用请求过滤功能禁止特定文件类型,或者简单地从 MIME 类型列表中删除 .properties 扩展名。但是,如何为特定文件路径或文件夹设置例外? 理想情况下,我不想将文件移动到另一个地方或将其原始扩展名更改为其他内容(以致于它与实际内容不匹配)。 ...
request-filtering
无法使用请求过滤删除“服务器”标头
由于 PCI DSS 扫描限制,我需要从发送到我的 IIS 站点的所有 http 请求中删除“服务器”标头。我正在运行最新版本的 Windows Server 2016,并使用最新版本的 IIS 10。IIS 请求过滤角色安装在角色和功能中。 我的配置文件如下所示: <?xml version="1.0" encoding="utf-8"?> <configuration> <system.webServer> <security> <requestFiltering remo...
request-filtering
IIS 8.5 按 VERB 进行请求过滤不起作用
要禁用来自 IIS(Windows 2012 R2)的 TRACE/TRACK 请求,我使用了本教程中的说明:动词 <verbs> | Microsoft Docs。我配置为拒绝 OPTIONS、TRACE 和 TRACK 请求。 IIS 服务器将请求转发到 JBoss 服务器。 当我通过 curl 向 IIS 服务器发送 TRACE 和 TRACK 请求时(通过 curl -v -X TRACEhttp://我的服务器/),我收到 404 响应(来自我的 JBoss 服务器)。我期望收到 405 响应(方法未实现)。 此外,当我发出 GET...
request-filtering
IIS 请求过滤规则是否使用正则表达式作为拒绝字符串?
我正在尝试使用请求过滤规则在 IIS 中阻止用户代理 X(字面意思就是“X”)。我们过去曾对其他更具体的用户代理执行过此操作,没有任何问题。但是,现在拒绝字符串只是 XI,难免会让人疑惑:拒绝字符串是正则表达式吗?它会使用 ^X$ 吗? ...
request-filtering
UrlScan 和请求过滤长 URL
我们的Windows/IIS 7.5环境配置为网址扫描和IIS 请求过滤。我们一直面临一个与长 URL 相关的问题。 /MyWeb/TestFW/prweb/Servelt1/ZsvSk3vV8PtgJEa4_x3fiQ[[*/!MyWebApp/webwb/desktop_domainsuffix_1819019784.js!yui_13833664524!desktopwrapper_12997951049!automationscripts_1864420987!ui_jquery_1796787788!desktopwrapper_12997951...
request-filtering
IIS 8.5 请求过滤阻止引荐来源垃圾邮件流量
最近,我在 Google Analytics 中看到很多来自这些域的请求(+25 个其他...): scanner-irvin.top scanner-viktor.top compliance-alex.top scanner-ivan.top scanner-jess.top scanner-julia.top scanner-walt.top scanner-elena.top scanner-Jessica.top 但我不知道如何通过 IIS 8.5 中的请求过滤来阻止这些请求。例如,可以通过拒绝序列添加关键字“bad”,如果“bad”出现在您...