拒否する URL シーケンスの追加 <add>
概要
<denyUrlSequences> コレクションの <add> 要素は、インターネット インフォメーション サービス (IIS) 7 の拒否された URL シーケンスのコレクションに追加する一意の文字シーケンスを指定します。
たとえば、URL で 2 つのピリオド ("..") を使用すると、次の上位のディレクトリで URL を処理するようにサーバーに指示されますが、この処理は、攻撃者がコンテンツ領域の外部の領域へのアクセスを得ようとしていることを示す可能性もあります。 そのパターンの文字をブロックすると、攻撃者がこの URL シーケンスを悪用する可能性が排除されます。
Note
要求のフィルタリングが URL シーケンスが拒否されたために HTTP 要求をブロックすると、IIS 7 は HTTP 404 エラーをクライアントに返し、要求が拒否された理由を識別する一意のサブ状態で次の HTTP 状態をログに記録します。
| HTTP サブ状態 | 説明 |
|---|---|
404.5 |
URL シーケンスの拒否 |
このサブ状態によって、Web 管理者は IIS ログを分析し、潜在的な脅威を特定できます。
Note
IIS 7.5 以降では、<alwaysAllowedUrls> コレクションに URL シーケンスを追加することで、<denyUrlSequences> コレクション内の URL シーケンスをオーバーライドできます。
互換性
| バージョン | メモ |
|---|---|
| IIS 10.0 | <add> 要素は IIS 10.0 では変更されませんでした。 |
| IIS 8.5 | <add> 要素は IIS 8.5 では変更されませんでした。 |
| IIS 8.0 | <add> 要素は IIS 8.0 では変更されませんでした。 |
| IIS 7.5 | <denyUrlSequences> 要素は、IIS 7.5 では変更されませんでした。注意: IIS 7.5 では、URL シーケンスを <alwaysAllowedUrls> コレクションに追加することで、<denyUrlSequences> 要素内の URL シーケンスをオーバーライドできます。 |
| IIS 7.0 | <requestFiltering> コレクションの <denyUrlSequences> 要素は IIS 7.0 で導入されました。 |
| IIS 6.0 | <denyUrlSequences> 要素は、IIS 6.0 UrlScan [DenyUrlSequences] 機能を置き換えます。 |
段取り
IIS 7 以降の既定のインストールには、要求のフィルタリングの役割サービスまたは機能が含まれます。 要求のフィルタリングの役割サービスまたは機能がアンインストールされている場合は、次の手順を使用して再インストールできます。
Windows Server 2012 または Windows Server 2012 R2
- タスク バーで [サーバー マネージャー]をクリックします。
- [サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。
- [役割と機能の追加] ウィザードで、[次へ] をクリックします。 インストールの種類を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] を選択します。
- [サーバーの役割] ページで [Web サーバー (IIS)] を展開し、[Web サーバー]、[セキュリティ]、[要求のフィルタリング] の順に展開します。 次へ をクリックします。
![[サーバー ロール] ページのスクリーンショット。[要求フィルター] ノードが強調表示され、選択されています。](add/_static/image2.png)
. - [機能の選択] ページで、[次へ] をクリックします。
- [インストール オプションの確認] ページで、[インストール] をクリックします。
- [結果] ページで、 [閉じる]をクリックします。
![[サーバー ロール] ページのスクリーンショット。[要求フィルター] ノードが強調表示され、選択されています。](add/_static/image1.png)
Windows 8 または Windows 8.1
- [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。
- [コントロール パネル] で [プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。
- [インターネット インフォメーション サービス]を展開し、[World Wide Web サービス] を展開し、[セキュリティ] を展開して、[要求のフィルタリング] を選択します。
![[プログラムと機能] ナビゲーション ツリーのスクリーンショット。要求のフィルター処理が選択され、強調表示されます。](add/_static/image4.png)
- OK をクリックします。
- 閉じるをクリックします。
![[プログラムと機能] ナビゲーション ツリーのスクリーンショット。要求のフィルター処理が選択され、強調表示されます。](add/_static/image3.png)
Windows Server 2008 または Windows Server 2008 R2
- タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。
- [サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。
- [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] を選択します。
- 役割サービスの追加ウィザードの [役割サービスの選択] ページで、[要求のフィルタリング] を選択し、[次へ] を選択します。
![[ロール サービスの選択] ページのスクリーンショット。要求のフィルター処理が選択され、強調表示されます。[セキュリティ] ノードが展開されます。](add/_static/image6.png)
- [インストール オプションの確認] ページで、[インストール] をクリックします。
- [結果] ページで、 [閉じる]をクリックします。
![[ロール サービスの選択] ページのスクリーンショット。要求のフィルター処理が選択され、強調表示されます。[セキュリティ] ノードが展開されます。](add/_static/image5.png)
Windows Vista または Windows 7
- タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
- [コントロール パネル] で [プログラムと機能] を選択し、[Windows の機能の有効化または無効化] を選択します。
- [インターネット インフォメーション サービス]、[World Wide Web サービス]、[セキュリティ] の順に展開します。
- [要求のフィルタリング] を選択し、[OK] を選択します。
![[プログラムと機能] ページのスクリーンショット。[セキュリティ] ノードが展開され、その下にある [要求フィルター] フォルダーがオンになり、強調表示されます。](add/_static/image8.png)
![[プログラムと機能] ページのスクリーンショット。[セキュリティ] ノードが展開され、その下にある [要求フィルター] フォルダーがオンになり、強調表示されます。](add/_static/image7.png)
操作方法
IIS 7.0 ユーザーの場合の注意: このセクションの一部の手順では、要求のフィルタリング用のユーザー インターフェイスを含む IIS 7.0 用 Microsoft 管理パックをインストールする必要がある場合があります。 IIS 7.0 用 Microsoft 管理パックをインストールするには、次の URL を参照してください。
URL シーケンスを拒否する方法
インターネット インフォメーション サービス (IIS) マネージャーを開きます。
Windows Server 2012 または Windows Server 2012 R2 を使用している場合:
- タスク バーで、[サーバー マネージャー] をクリックし、[ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows 8 または Windows 8.1 を使用している場合:
- Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
- [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
Windows Server 2008 または Windows Server 2008 R2 を使用している場合:
- タスク バーで、[スタート] ボタンをクリックし、[管理ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows Vista または Windows 7 を使用している場合:
- タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
- [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
[接続] ウィンドウで、要求のフィルタリング設定を変更する接続、サイト、アプリケーション、またはディレクトリに移動します。
[ホーム] ウィンドウで、[要求のフィルタリング] をダブルクリックします。
![既定の Web サイトのホーム ページのスクリーンショット。[要求フィルター] アイコンが強調表示されています。](add/_static/image10.png)
[要求のフィルタリング] ウィンドウで、[URL シーケンスの拒否] タブを選択し、[操作] ウィンドウの [URL シーケンスの追加] を選択します。
![[要求フィルター] ウィンドウのスクリーンショット。[Deny U R L Sequences]\(U R L シーケンスの拒否\) タブが選択されています。[Add U R L Sequence]\(U R L シーケンスの追加\) は、[操作] ウィンドウにあります。](add/_static/image12.png)
[拒否するシーケンスの追加] ダイアログ ボックスで、ブロックする URL シーケンスを入力し、[OK] を選択します。
![[拒否シーケンスの追加] ダイアログ ボックスのスクリーンショット。[U R L シーケンス] ボックスが表示されます。](add/_static/image14.png)
たとえば、サーバー上のディレクトリ トラバーサルを防ぐには、ダイアログ ボックスに 2 つのピリオド ("..") を入力します。
![既定の Web サイトのホーム ページのスクリーンショット。[要求フィルター] アイコンが強調表示されています。](add/_static/image9.png)
![[要求フィルター] ウィンドウのスクリーンショット。[Deny U R L Sequences]\(U R L シーケンスの拒否\) タブが選択されています。[Add U R L Sequence]\(U R L シーケンスの追加\) は、[操作] ウィンドウにあります。](add/_static/image11.png)
![[拒否シーケンスの追加] ダイアログ ボックスのスクリーンショット。[U R L シーケンス] ボックスが表示されます。](add/_static/image13.png)
構成
属性
| 属性 | 説明 |
|---|---|
sequence |
必須の文字列属性です。 Web サーバーで URL ベースの攻撃を防ぐために Web サーバーが処理しない URL の文字シーケンスを指定します。 |
子要素
なし。
構成サンプル
次の Web.config ファイルの例では、3 つの URL シーケンスへのアクセスが拒否されます。 最初のシーケンスはディレクトリ トラバーサルを防ぎ、2 番目のシーケンスは代替データ ストリームへのアクセスを禁止し、3 番目のシーケンスは URL でバックスラッシュが使用されないようにします。
<configuration>
<system.webServer>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence=".." />
<add sequence=":" />
<add sequence="\" />
</denyUrlSequences>
</requestFiltering>
</security>
</system.webServer>
</configuration>
次の例では、2 つの特定の文字シーケンスのいずれかが含まれている場合に URL を拒否する <denyUrlSequences> 要素と <alwaysAllowedUrls> 要素の組み合わせを示しますが、これらの 2 つの特定の文字シーケンスの両方を特定の順序で含む特定の URL が常に許可されます。
<system.webServer>
<security>
<requestFiltering>
<denyUrlSequences>
<add sequence="bad" />
<add sequence="sequence" />
</denyUrlSequences>
<alwaysAllowedUrls>
<add url="/bad_sequence.txt" />
</alwaysAllowedUrls>
</requestFiltering>
</security>
</system.webServer>
サンプル コード
次のコード サンプルは、既定の Web サイトの 3 つの URL シーケンスへのアクセスを拒否する方法 (ディレクトリ トラバーサル ("..")、代替データ ストリーム (":")、円記号 ("")) を示しています。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='..']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence=':']"
appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='\']"
PowerShell
Start-IISCommitDelay
$denyUrlSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyUrlSequences'
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '..' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = ':' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '\' }
Stop-IISCommitDelay
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Default Web Site");
ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");
ConfigurationElementCollection denyUrlSequencesCollection = requestFilteringSection.GetCollection("denyUrlSequences");
ConfigurationElement addElement = denyUrlSequencesCollection.CreateElement("add");
addElement["sequence"] = @"..";
denyUrlSequencesCollection.Add(addElement);
ConfigurationElement addElement1 = denyUrlSequencesCollection.CreateElement("add");
addElement1["sequence"] = @":";
denyUrlSequencesCollection.Add(addElement1);
ConfigurationElement addElement2 = denyUrlSequencesCollection.CreateElement("add");
addElement2["sequence"] = @"\";
denyUrlSequencesCollection.Add(addElement2);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
Dim denyUrlSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyUrlSequences")
Dim addElement As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
addElement("sequence") = ".."
denyUrlSequencesCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
addElement1("sequence") = ":"
denyUrlSequencesCollection.Add(addElement1)
Dim addElement2 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
addElement2("sequence") = "\"
denyUrlSequencesCollection.Add(addElement2)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection;
var addElement = denyUrlSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "..";
denyUrlSequencesCollection.AddElement(addElement);
var addElement1 = denyUrlSequencesCollection.CreateNewElement("add");
addElement1.Properties.Item("sequence").Value = ":";
denyUrlSequencesCollection.AddElement(addElement1);
var addElement2 = denyUrlSequencesCollection.CreateNewElement("add");
addElement2.Properties.Item("sequence").Value = "\\";
denyUrlSequencesCollection.AddElement(addElement2);
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection
Set addElement = denyUrlSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = ".."
denyUrlSequencesCollection.AddElement(addElement)
Set addElement1 = denyUrlSequencesCollection.CreateNewElement("add")
addElement1.Properties.Item("sequence").Value = ":"
denyUrlSequencesCollection.AddElement(addElement1)
Set addElement2 = denyUrlSequencesCollection.CreateNewElement("add")
addElement2.Properties.Item("sequence").Value = "\"
denyUrlSequencesCollection.AddElement(addElement2)
adminManager.CommitChanges()