Freigeben über

Deny Query String Sequences <denyQueryStringSequences>

  • Artikel

Übersicht

Das <denyQueryStringSequences> Element enthält eine Auflistung von <add>-Elementen, die Sequenzen von Abfragezeichenfolgenzeichen angeben, die IIS verweigert, wodurch Angriffe auf dem Webserver verhindert werden, die die Abfragezeichenfolge verwenden, um die Angriffsnutzlast zu liefern.

Hinweis

Sie können die Abfragezeichenfolgensequenzen in dieser Auflistung überschreiben, indem Sie der <alwaysAllowedQueryStrings>-Auflistung Abfragezeichenfolgensequenzen hinzufügen.

Hinweis

Wenn die Anforderungsfilterung eine HTTP-Anforderung aufgrund einer verweigerten Abfragezeichenfolgensequenz blockiert, gibt IIS 7 einen HTTP 404-Fehler an den Client zurück und protokolliert den folgenden HTTP-Status mit einem eindeutigen Unterstatus, der den Grund identifiziert, warum die Anforderung verweigert wurde:

HTTP-Unterstatus Beschreibung
404.18 Abfragezeichenfolgensequenz verweigert

Mit diesem Unterstatus können Webadministratoren ihre IIS-Protokolle analysieren und potenzielle Bedrohungen identifizieren.

Kompatibilität

Version Hinweise
IIS 10.0 Das <denyQueryStringSequences>-Element wurde in IIS 10.0 nicht geändert.
IIS 8.5 Das <denyQueryStringSequences>-Element wurde in IIS 8.5 nicht geändert.
IIS 8.0 Das <denyQueryStringSequences>-Element wurde in IIS 8.0 nicht geändert.
IIS 7.5 Das <denyQueryStringSequences>-Element des <requestFiltering>-Elements wird als Feature von IIS 7.5 ausgeliefert.
IIS 7.0 Das <denyQueryStringSequences>-Element des <requestFiltering>-Elements wurde als Update für IIS 7.0 eingeführt, das über den Microsoft Knowledge Base-Artikel 957508 (https://support.microsoft.com/kb/957508) verfügbar ist.
IIS 6.0 Das <denyQueryStringSequences>-Element entspricht ungefähr dem Abschnitt [DenyQueryStringSequences], der URLScan 3.0 hinzugefügt wurde.

Setup

Die Standardinstallation von IIS 7 und höher umfasst Anforderungsfilterung-Rollendienst oder das Feature. Wenn der Rollendienst für die Anforderungsfilterung oder das Feature deinstalliert wird, können Sie ihn mit den folgenden Schritten erneut installieren.

Windows Server 2012 oder Windows Server 2012 R2

  1. Klicken Sie auf der Taskleiste auf Server-Manager.
  2. Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
  3. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Weiter. Wählen Sie den Installationstyp aus, und klicken Sie auf Weiter. Wählen Sie den Zielserver aus, und klicken Sie auf Weiter.
  4. Erweitern Sie auf der Seite Serverrollen den Webserver (IIS), erweitern Sie den Webserver, erweitern Sie Sicherheit, und wählen Sie dann Anforderungsfilterung aus. Klicken Sie auf Weiter.
    Screenshot shows Web Server and Security pane expanded and Request Filtering selected. .
  5. Klicken Sie auf der Seite Features auswählen auf Weiter.
  6. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  7. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows 8 oder Windows 8.1

  1. Bewegen Sie auf dem Start-Bildschirm den Mauszeiger ganz nach links unten, klicken Sie mit der rechten Maustaste auf die Start-Taste und klicken Sie dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerung auf Programme und Features, und klicken Sie dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie unter InternetinformationsdiensteWorld Wide Web Services, dann Sicherheit und wählen Sie dann Anforderungsfilterung aus.
    Screenshot displays World Wide Web Services and Security pane expanded with Request Filtering selected.
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Schließen.

Windows Server 2008 oder Windows Server 2008 R2

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltungstools, und klicken Sie dann auf Server-Manager.
  2. Erweitern Sie im Hierarchiebereich des Server-Managers die Rollen und klicken Sie dann auf den Webserver (IIS).
  3. Scrollen Sie im Bereich Webserver (IIS) zum Abschnitt Rollendienste, und klicken Sie dann auf Rollendienste hinzufügen.
  4. Wählen Sie auf der Seite Rollendienste auswählen des Assistenten Rollendienste hinzufügenAnforderungsfilterung aus, und klicken Sie dann auf Weiter.
    Screenshot of Select Role Services page displaying Security pane expanded and Request Filtering selected.
  5. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  6. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows Vista oder Windows 7

  1. Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerung auf Programme und Features, und klicken Sie dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, dann World Wide Web Servicesund dann Sicherheit.
  4. Wählen Sie Anforderungsfilterung aus, und klicken Sie dann auf OK.
    Screenshot of Security pane expanded showing Request Filtering selected.

Gewusst wie

So verweigern Sie eine Abfragezeichenfolgensequenz

  1. Öffnen Sie den Internet Information Services (IIS) Manager:

    • Wenn Sie Windows Server 2012 oder Windows Server 2012 R2 verwenden:

      • Klicken Sie in der Taskleiste auf Server-Manager dann auf Tools und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows 8 oder Windows 8.1 verwenden:

      • Halten Sie die Windows-Taste gedrückt, drücken Sie den Buchstaben X, und klicken Sie dann auf Systemsteuerung.
      • Klicken Sie auf Verwaltung und doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Server 2008 oder Windows Server 2008 R2 verwenden:

      • Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltung und dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Vista oder Windows 7 verwenden:

      • Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
      • Doppelklicken Sie auf Verwaltung und doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

  2. Wechseln Sie im Bereich „Verbindungen“ zu der Verbindung, zum Standort, zur Anwendung oder zum Verzeichnis, für die Sie die Einstellungen für die Anforderungsfilterung ändern möchten.

  3. Doppelklicken Sie im Bereich Start auf Anforderungsfilterung.

  4. Klicken Sie im Bereich Anforderungsfilterung auf die Registerkarte Abfragezeichenfolgen und dann im Bereich Aktionen auf Abfragezeichenfolge verweigern....

  5. Geben Sie im Dialogfeld Abfragezeichenfolge verweigern die Abfragezeichenfolgensequenz ein, die Sie blockieren möchten, und klicken Sie dann auf OK.

Konfiguration

Das <denyQueryStringSequences>-Element des <requestFiltering>-Elements wird auf Standort-, Anwendungs- oder Verzeichnisebene konfiguriert.

Attribute

Keine

Untergeordnete Elemente

Element Beschreibung
add Optionales Element.

Fügt der Auflistung der verweigerten Abfragezeichenfolgen eine Abfragezeichenfolge hinzu.
clear Optionales Element.

Entfernt alle Verweise auf Abfragezeichenfolgen aus der Auflistung.
remove Optionales Element.

Entfernt eine Abfragezeichenfolge aus der Auflistung der verweigerten Abfragezeichenfolgen.

Konfigurationsbeispiel

Im folgenden Beispiel wird eine Kombination aus einem <denyQueryStringSequences>-Element und einem <alwaysAllowedQueryStrings>-Element veranschaulicht, das alle Abfragezeichenfolgen verweigert, wenn sie eine von zwei bestimmten Zeichensequenzen enthalten, jedoch immer eine bestimmte Abfragezeichenfolge zulassen, die beide dieser beiden spezifischen Zeichensequenzen in einer bestimmten Reihenfolge enthält.

<system.webServer>
   <security>
      <requestFiltering>
         <denyQueryStringSequences>
            <add sequence="bad" />
            <add sequence="sequence" />
         </denyQueryStringSequences>
         <alwaysAllowedQueryStrings>
            <add queryString="bad=sequence" />
         </alwaysAllowedQueryStrings>
      </requestFiltering>
   </security>
</system.webServer>

Beispielcode

Die folgenden Beispiele veranschaulichen das Hinzufügen einer Abfragezeichenfolgensequenz, die auf der Standardwebsite verweigert wird.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyQueryStringSequences.[sequence='bad_querystring_sequence']"

PowerShell

$denyQueryStringSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyQueryStringSequences'
New-IISConfigCollectionElement -ConfigCollection $denyQueryStringSequences -ConfigAttribute @{ 'sequence' = 'bad_querystring_sequence' }

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Default Web Site");
         ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");

         ConfigurationElementCollection denyQueryStringSequencesCollection = requestFilteringSection.GetCollection("denyQueryStringSequences");
         ConfigurationElement addElement = denyQueryStringSequencesCollection.CreateElement("add");
         addElement["sequence"] = @"bad_querystring_sequence";
         denyQueryStringSequencesCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")

      Dim denyQueryStringSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyQueryStringSequences")
      Dim addElement As ConfigurationElement = denyQueryStringSequencesCollection.CreateElement("add")
      addElement("sequence") = "bad_querystring_sequence"
      denyQueryStringSequencesCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");

var denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection;
var addElement = denyQueryStringSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence";
denyQueryStringSequencesCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")

Set denyQueryStringSequencesCollection = requestFilteringSection.ChildElements.Item("denyQueryStringSequences").Collection
Set addElement = denyQueryStringSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = "bad_querystring_sequence"
denyQueryStringSequencesCollection.AddElement(addElement)

adminManager.CommitChanges()