IIS:配置 URLScan 保护 ASP.NET Web 应用程序

一、漏洞简介：

该漏洞可以使攻击者获取网站目录下文件名称的前6个字符，存在网站目录结构暴露风险。网站恶意访问者可利用此漏洞做密集下载攻击，可导致短时间内占用大量带宽资源，而使网站无法访问。

通常可通过分析IIS异常日志文件（例如特别大的）发现这类攻击 

二、解决方案——安装urlscan Filter防止文件暴露

1、安装UrlScan Filter V3.1：（分32位和64位两个版本，可去微软官方网站下载）  

2、安装后重新启动IIS，查看网站属性-->ISAPI筛选器，会发现UrlScan优先级为”高”。安装完成后，结合本网站特点对配置文件进行了设置（需适当修改UrlScan的配置文件C:\WINDOWS\system32\inetsrv\urlscan\UrlScan.ini），网站访问正常， 此时，我们需要修改下urlscan默认配置，修改以下几处：

第20行：设置AllowHighBitCharacters=1 使之支持中文文件名；

第23行：修改设置 AllowDotInPath=1  使之支持‘.’目录名，仅 6.0版存在asp.net目录名，dcc后台上传图片时）

第30行：设置RemoveServerHeader=1，使之能屏蔽IIS版本号，使得攻击者无法识别IIS版本号，从而难以利用其弱点；

第33行：设置EnableLogging=0 禁用日志，使之不产生大量url请求日志占用磁盘；

第210行：设置MaxAllowedContentLength=1080000000  ，原本默认只有30M太小，大点的视频文件就无法上传，考虑到web.config中有200M的上限设置，此处改为1G。

[AlwaysAllowedUrls] 章节：

第358行增加： / 

[DenyUrlSequences]章节：

第368行增加：  ~   ; Don't allow IIS short name guess.

此外，这里提供已完成上述配置的urlscan.ini文件下载 ：

已配置好的 UrlScan.ini 下载（这是适合万朋网站系统V6.1及后续版本的推荐安全配置，注意V6.0需做第23行修改）

附录1：【urlscan相关文档和资源】

1、 urlscanV3.1x32和64位版本  下载。

2、 如何配置Urlscan.ini参数：http://support.microsoft.com/kb/326444/zh-cn

3、 如何配置 URLScan 保护 ASP.NET Web 应用程序： http://support.microsoft.com/kb/815155/zh-cn

注意：网站生成V6.0和V6.1 ，配置urlscan.ini时有一处不同：

由于V6.0版中含有“Asp.Net”的程序目录，因此需设置 AllowDotInPath=1，否则后台调用asp.net/upload.ashx上传图片等附件时 URLScan 将拒绝该请求，并向该客户端返回一个“404 not found”消息。  （而最新的V6.1版中，已将该目录更名为aspnet，因此用默认的AllowDotInPath=0即可）

如果使用 URLScan，可能会遇到下列问题：

1、URLScan 阻止 DEBUG 谓词，这会导致应用程序调试无法进行。如果需要支持调试，请将 DEBUG 谓词添加到 URLScan.ini 中的 [AllowVerbs] 段落。

2、您需要重新启动 IIS，以使更改生效。URLScan 是一个 ISAPI 筛选器，在 IIS 进程 (Inetinfo.exe) 内运行，在 IIS 启动时会从 URLScan.ini 加载 URLScan 的选项。可以从命令提示符运行 IISReset 命令来重新启动 IIS。

3、其他由于将被 URLScan 拒绝而应当避免在项目名称中使用的字符包括逗号 (,) 和磅字符(#)。

4、注意：安装URLScan程序必须安装IIS元数据库及相关的兼容程序。（可在IIS功能配置里面安装）