اطمینان از تنظیم maxURL request filter (Scored)
Profile Applicability
• Level 2 – IIS 10
Description
ویژگی maxURL مربوط به مورد requestLimits مشخص کننده حداکثر طول هر درخواست URL (به Bytes) میتواند باشد (به غیر از query string) تا IIS آن را قبول کند.
پیکربندی این Request Filter، Administrator ها را قادر میسازد تا طول درخواستهایی را که سرور میپذیرد محدود کنند. توصیه میشود محدودیت لازم بر روی طول URL صورت گیرد.
Rationale
به وسیله یک فیلتر صحیح تنظیم شده با محدود کردن مقدار دادههای پذیرفته شده در URL، احتمال بروز رفتارهای ناخواسته برنامه که بر روی در دسترس بودن محتوا و خدمات تأثیر میگذارد ، کاهش مییابد.
Audit
اگر مقدار یک درخواست بیشتر از مقدار مشخص شده در فیلتر باشد و توسط IIS به همین دلیل Reject شود، IIS یک 404.14 HTTP را log میکند.
برای اینکه تغییرات را به صورت دستی تایید کنید web.config سایت یا اپلیکیشن را مکان یابی و باز کنید که فیلتر درخواست در آن تنظیم شده است. مقدار تعریف شده برای maxURL را تأیید کنید.
یا
برای تایید از طریق PowerShell دستور زیر را وارد کنید:
Remediation
فیلتر درخواست MaxURL میتواند برای یک سرور، وب سایت، اپلیکیشن از طریق IIS Manager GUI، با استفاده از دستورات AppCmd.exe در یک پنجره command-line یا مستقیم Edit کردن فایلهای پیکربندی WMI تنظیم شود. برای تنطیم از طریق مراحل گفته شده در IIS Manager GUI مراحل زیر را دنبال نمایید:
1- IIS Manager را باز کنید.
2- در صفحه Connections روی سرور، سایت، اپلیکیشن یا دایرکتوری مورد نظر برای پیکربندی کلیک کنید.
3- در صفحه Home روی Request Filtering، دوبار کلیک کنید.
4- در صفحه Actions روی Edit Features Settings کلیک کنید.
5- زیر بخش Request limits، حداکثر طول URL را به بایت بدهید که توسط وب اپلیکیشن تست شده باشد.
برای پیکربندی از طریق AppCmd.exe دستور زیر را وارد کنید:
یا
دستور زیر را در PowerShell برای پیکربندی وارد کنید:
Default Value
زمانی که request filtering روی یک سیستم نصب میشود مقدار پیشفرض آن maxURL=“4096” میباشد.
منابع:
www.iis.net/ConfigReference/system.webServer/security/requestFiltering/requestLimits
learn.iis.net/page.aspx/143/use-request-filtering/
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
