在內建的規則中大多已經很夠用了,其中在 [DenyQueryStringSequences] 區段定義的 "<" 與 ">" 更是阻擋 XSS 的關鍵 ( XSS 大多都搭配著 "<"script">" 的標籤搭配在 QuerryString 之後,搭配 UnescapeQueryString 的參數將 Escape 後的參數還原即可得知)。那其他的特徵呢?例如 declare, drop, select… 等正常不應該出現在 QuerryString 的參數要阻擋的設定怎麼辦?
IIS 有一個功能強大的模組:URLScan,知道的人也許很多,但中文文章鮮少說明詳細設定,在此 TigerLin 將使用的心得分享出來,希望可以幫助 RD 與 IT 人員,讓應用程式與伺服器安全更上一層樓。
繼上次的服務延伸與佈署模組的介紹後,緊接著試用管理與應用方面的模組。在這裡 TigerLin 要特別推薦 Administration Pack for IIS 7.0 這個模組,安裝之後除了可讓 IIS 有 Request Filter 的功能外,還多了讓 IIS 具有 Report 的功能,可以即時分析狀況,讚啦!!
從 Windows 2003 的 IIS 6 到現在的 WIndows 2008 IIS 7,中間演變的差異非常的大,從 UI 的界面變更到底層的管理模式,與以前都是大大的不同。其中 TigerLin 覺得變化最大的就是 IIS7 可藉由 「模組化」的方式安裝其他的功能模組,也有很方便的佈署程式可以快速的部屬,讓我們 IT 在架設環境上面可以比以前更省時快速不少。以下針對 RD 部門與安全性方面常提到的需求,精選一些 IT 可能會常用到的模組作試用與分享。
在使用 IIS 6 時,TigerLin 是用 Adsutil.vbs 來管理整個 IIS 的運作,讓一些瑣碎的工作都可快速的進行。過年期間在研究 IIS 7 的時候發現 Adsutil.vbs 已經無法使用了,到 Technet 上看了一下,看到了最新的指令管理工具是 Appcmd,過年閒的發慌剛好可以來研究一下~ 這篇文章也算是 TigerLin 當作日後方便查閱的筆記~^^
IIS 的 LOG 是由 http.sys 控制,其預設的快取大小為 64KB (也是最大的設定),最小可以設定為 12KB。一般預設是不用變更快取大小,除非是特殊需求,不然改變大小甚至停用反而會對校能造成一定程度的影響。