请教高手:urlscan中DenyUrlSequences为什么不起作用呢？

显示全部楼层 · 2006-2-7 12:53:52

urlscan:[DenyUrlSequences]
可以配置 URLScan 以禁止那些 URL 中包含某些字符序列的请求。例如，可以禁止那些包含两个连续句点 (..) 的请求，利用目录遍历漏洞的攻击中经常采用这种手段。要指定一个要禁止的字符序列，请将此序列单独放在 [DenyUrlSequences] 节中的一行上。
请注意，添加字符序列可能会对 Microsoft Exchange 的 Outlook Web Access (OWA) 产生负面影响。当您从 OWA 打开一个邮件时，该邮件的主题行包含在服务器所请求的 URL 中。由于 URLScan.ini 文件禁止任何包含百分号 (%) 和连字符 (&amp

的请求，因此，当用户尝试打开主题行为“Sales increase by 100%”或“Bob & Sue are coming to town”的邮件时，会收到 404 错误信息。要解决此问题，可以从 [DenyUrlSequences] 节中删除这些序列。请注意，这样做会降低安全性，因为它有可能允许危险的请求到达服务器。
我的服务器是win2000 server,iis5.0,为什么urlscan中别的配置都可以生效而DenyUrlSequences却不能起任何作用呢？
烦请高手赐教！谢谢！

千问 · 2006-2-7 12:53:52

转到微软的论坛。那里看是否有人可以解决！
谅

千问 · 2006-2-7 12:53:52

还是没有人来帮我。。着急。。

千问 · 2006-2-7 12:53:52

哪位高手来解决一下啊。先谢谢了哦。