 |
IIS-URL过滤防火墙类似小型IDS... |
|
|
| IIS-URL过滤防火墙类似小型IDS... |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-26 9:26:48 |
|
记得serv-u公司开发了一款包过滤防火墙 名字叫VisNetic Friewall
焦点站上有下载 url:
http://www.xfocus.net/tools/200411/894.html
文中提到:
此防火墙有DeerField.com开发。(就是开发Serv-U的厂商)功能十分强大,绝对不比任何一款Windows平台上的软件防火墙逊色。该防火墙采用了非常完善的强大的包过滤技术,并且整合了Http Filter(用于检测Http数据【如URL】中的特定字符)和IP Ban(用于暂时或永久封堵入侵者的IP)功能,而且配置简单,性能好。再加上其附加的蜜罐功能,更是可以让入侵者摸不到头脑。
我安装了防火墙发现竟然具有报告功能 真象一个小型的ids 还能mail通知
但在url包含字过滤的地方不是很明白 于是调查了一些资料
发现microsoft针对iis的安全防护有两个产品是比较著名的
IIS Lock Tool 和 URLScan Tool
在这里重点说后者 URLScan Tool
仔细观察IIS的漏洞,我们几乎可以得出这样一个结论,所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞:
1、特别长的URL,比如红色代码攻击网站的URL就是这样:
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200;
2、特殊字符或者字符串的URL,比如在URL后面加::$DATA可以看到网页(ASP)源代码;
3、URL中含有可执行文件名,最常见的就是有cmd.exe;
既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能:
1、基本功能:过滤非法URL请求;
2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果;
3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则;
我还在调试这款防火墙 不知道大家针对整服务器的IIS url过滤有什么办法
我想如果防火墙做到一定的程度 把最流行的脚本编码过滤的话 木马是用都用不起来
就比如海洋的2006 访问方式基本为 paganame=*******
这样做好一个策略 估计能拦下不少强人呢 :>
testing... 愿意一起研究的到
http://www.xfocus.net/tools/200109/254.html
下载
火狐等待着与你分享惊喜
DeerField出的基于数据包级的防火墙VNFirewall,一般是用于商业工作站以及企
业服务器,具有超越个人防火墙的安全性以及更专业的网络设置,几乎能控制你
所有的上网联系。如果你想具有更强的安全性的话,可以试试。
VNFirewall
http://www.xia8.com/SoftView/SoftView_6058.html
汉化补丁
http://www.xia8.com/SoftView/SoftView_6654.html 【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: 蜜罐技术:消除防火墙局限和脆弱
下一篇文章: 世界上最优秀的二十款防火墙 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
