요청 필터링 <요청필터링>

  • 아티클

개요

요청 필터링은 IIS(인터넷 정보 서비스) 7.0에 도입된 기본 제공 보안 기능이며, IIS 6.0용 UrlScan 추가 기능을 통해 사용할 수 있었던 대부분의 기능을 대체합니다. 요청 필터링 기능에 대한 모든 설정은 다음 기능 영역 각각에 <requestFiltering> 대한 여러 자식 요소를 포함하는 요소 내에 있습니다.

  • <denyUrlSequences> - 이 요소는 IIS 7에서 거부할 URL 시퀀스 패턴의 컬렉션을 포함할 수 있습니다. 예: 공격자가 악용하려고 할 수 있는 URL 시퀀스의 일부를 거부할 수 있습니다.
  • <fileExtensions> - 이 요소는 IIS 7이 거부하거나 허용하는 파일 이름 확장명 컬렉션을 포함할 수 있습니다. 예를 들어 Web.config 파일에 대한 모든 요청을 차단할 수 있습니다.
  • <hiddenSegments> - 이 요소에는 검색할 수 없는 URL 컬렉션이 포함될 수 있습니다. 예를 들어 ASP.NET App_Code 폴더에 대한 요청을 거부할 수 있습니다.
  • <requestLimits> - 이 요소에는 URL, 콘텐츠 및 쿼리 문자열 길이에 대한 설정이 포함되어 있습니다. HTTP 헤더에 대한 사용자 정의 최대 길이 컬렉션을 포함할 수도 있습니다.
  • <verbs> - 이 요소는 IIS 7이 거부하거나 허용하는 HTTP 동사 컬렉션을 포함할 수 있습니다. 예를 들어 모든 HTTP TRACE 요청을 차단할 수 있습니다.

IIS 7.5의 새로운 기능

IIS 7.5에는 요청 필터링을 위한 몇 가지 추가 기능 영역이 추가되었습니다.

  • <alwaysAllowedUrls> - 이 요소는 요청 필터링이 항상 허용하는 URL 컬렉션을 포함할 수 있습니다.
  • <alwaysAllowedQueryStrings> -이 요소는 항상 허용하는 요청 필터링의 컬렉션 쿼리 문자열을 포함할 수 있습니다.
  • <denyQueryStringSequences> - 이 요소는 항상 거부되는 필터링을 요청하는 쿼리 문자열 시퀀스의 컬렉션을 포함할 수 있습니다. 이를 통해 관리자는 잠재적으로 위험한 쿼리 문자열 시퀀스를 차단할 수 있습니다.
  • <filteringRules> - 이 요소는 사용자 지정 요청 필터링 규칙의 컬렉션을 포함할 수 있습니다. 이 컬렉션을 사용하면 관리자가 특정 조건에 대한 사용자 지정된 요청 필터링 규칙을 만들 수 있습니다.

IIS 10.0의 새로운 기능

IIS 10.0은 removeServerHeader 원격 클라이언트에 HTTP 서버 헤더를 보내지 않는 특성을 추가했습니다.

HTTP 404 오류 하위 상태 코드

요청 필터링이 HTTP 요청을 차단하는 경우 IIS 7은 클라이언트에 HTTP 404 오류를 반환하고 요청이 거부된 이유를 식별하는 고유한 하위 상태를 사용하여 HTTP 상태 기록합니다. 예를 들면 다음과 같습니다.

HTTP 하위 상태 Description
404.5 URL 시퀀스 거부됨
404.6 동사 거부됨
404.7 파일 확장자 거부됨
404.8 숨겨진 네임스페이스
404.11 URL 이중 이스케이프됨
404.12 URL에 높은 비트 문자가 있습니다.
404.14 URL이 너무 깁니다.
404.15 쿼리 문자열이 너무 깁니다.
404.18 쿼리 문자열 시퀀스 거부됨
404.19 필터링 규칙에 의해 거부됨
413.1 콘텐츠 길이가 너무 큽니다.
431 요청 헤더가 너무 깁니다.

이러한 하위 상태를 사용하면 웹 관리자가 IIS 로그를 분석하고 잠재적 위협을 식별할 수 있습니다.

호환성

버전 참고
IIS 10.0 서버 헤더를 표시하지 않는 기능이 IIS 10.0에 추가되었습니다.
IIS 8.5 <requestFiltering> 요소가 IIS 8.5에서 수정되지 않았습니다.
IIS 8.0 <requestFiltering> 요소가 IIS 8.0에서 수정되지 않았습니다.
IIS 7.5 IIS 7.5에서 요청 필터링은 특성 및 alwaysAllowedUrls, , denyQueryStringSequencesalwaysAllowedQueryStrings및 요소와 filteringRules 함께 unescapeQueryString 제공합니다. 이러한 요소는 Microsoft 기술 자료 문서 957508(https://support.microsoft.com/kb/957508)를 통해 제공되는 IIS 7.0에 대한 업데이트로 처음 도입되었습니다.
IIS 7.0 요소는 <requestFiltering> IIS 7.0에서 도입되었습니다.
IIS 6.0 요소는 <requestFiltering> IIS 6.0 UrlScan 기능을 대체합니다.

설치 프로그램

IIS 7 이상의 기본 설치에는 요청 필터링 역할 서비스 또는 기능이 포함됩니다. 요청 필터링 역할 서비스 또는 기능이 제거된 경우 다음 단계를 사용하여 다시 설치할 수 있습니다.

Windows Server 2012 또는 Windows Server 2012 R2

  1. 작업 표시줄에서 서버 관리자를 클릭합니다.
  2. 서버 관리자관리 메뉴를 클릭한 다음 역할 및 기능 추가를 클릭합니다.
  3. 역할 및 기능 추가 마법사에서 다음을 클릭합니다. 설치 유형을 선택하고 다음을 클릭합니다. 대상 서버를 선택하고 다음을 클릭합니다.
  4. 서버 역할 페이지에서 웹 서버(IIS)를 확장하고, 웹 서버를 확장하고, 보안을 확장한 다음, 필터링 요청을 선택합니다. 다음을 클릭합니다.
    요청 필터링이 선택된 웹 서버 및 보안 창의 이미지입니다. .
  5. 기능 선택 페이지에서 다음을 클릭합니다.
  6. 설치 선택 확인 페이지에서 설치를 클릭합니다.
  7. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 8 또는 Windows 8.1

  1. 시작 화면에서 포인터를 왼쪽 아래 모서리로 이동하고 시작 단추를 마우스 오른쪽 단추로 클릭한 다음 제어판 클릭합니다.
  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
  3. 인터넷 정보 서비스를 확장하고 World Wide Web Services를 확장한 다음 보안을 확장한 다음, 요청 필터링을 선택합니다.
    요청 필터링이 강조 표시된 World Wide Web Services 및 보안 창의 이미지
  4. 확인을 클릭합니다.
  5. 닫기를 클릭합니다.

Windows Server 2008 또는 Windows Server 2008 R2

  1. 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자 클릭합니다.
  2. 서버 관리자 계층 창에서 역할을 확장한 다음 웹 서버(IIS)를 클릭합니다.
  3. 웹 서버(IIS) 창에서 역할 서비스 섹션으로 스크롤한 다음 역할 서비스 추가를 클릭합니다.
  4. 역할 서비스 추가 마법사역할 서비스 선택 페이지에서 요청 필터링을 선택하고 다음을 클릭합니다.
    보안 창이 확장되고 요청 필터링이 선택된 역할 서비스 선택 페이지의 이미지.
  5. 설치 선택 확인 페이지에서 설치를 클릭합니다.
  6. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows Vista 또는 Windows 7

  1. 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
  3. 인터넷 정보 서비스, World Wide Web Services, 보안을 차례로 확장합니다.
  4. 요청 필터링을 선택한 다음 확인을 클릭합니다.
    확장된 World Wide Web Services 및 보안 노드 및 요청 필터링이 강조 표시된 스크린샷

방법

IIS 7.0 사용자에 대한 참고 사항: 이 섹션의 일부 단계에서는 요청 필터링을 위한 사용자 인터페이스를 포함하는 IIS 7.0용 Microsoft 관리 팩을 설치해야 할 수 있습니다. IIS 7.0용 Microsoft 관리 팩을 설치하려면 다음 URL을 참조하세요.

요청 필터링 기능 설정 및 요청 제한을 편집하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 요청 필터링 설정을 수정하려는 연결, 사이트, 애플리케이션 또는 디렉터리로 이동합니다.

  3. 창에서 요청 필터링을 두 번 클릭합니다.
    요청 필터링이 강조 표시된 기본 웹 사이트 홈 창의 이미지.

  4. 작업 창에서 기능 설정 편집...을 클릭합니다.
    작업 창에 기능 설정 편집을 표시하는 요청 필터링 페이지의 이미지.

  5. 옵션을 지정한 다음 확인을 클릭합니다.
    목록에 없는 파일 이름 확장명 허용을 선택한 것을 보여 주는 요청 필터링 설정 편집 대화 상자의 스크린샷 예를 들어 다음과 같이 변경할 수 있습니다.

    • 2048을 지정하여 최대 URL 길이를 2KB로 변경합니다.
    • 1024를 지정하여 최대 쿼리 문자열 길이를 1KB로 변경합니다.
    • 목록에 없는 동사 허용 검사 상자를 선택 취소하여 목록에 없는 HTTP 동사에 대한 액세스를 거부합니다.

URL 시퀀스를 거부하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 요청 필터링 설정을 수정하려는 연결, 사이트, 애플리케이션 또는 디렉터리로 이동합니다.

  3. 창에서 요청 필터링을 두 번 클릭합니다.
    요청 필터링 애플리케이션이 강조 표시된 기본 웹 사이트 홈 창의 이미지

  4. 요청 필터링 창에서 URL 시퀀스 거부 탭을 클릭한 다음 작업 창에서 URL 시퀀스 추가...를 클릭합니다.
    작업 창에서 거부 U R L 시퀀스 탭이 있는 요청 필터링 페이지의 스크린샷

  5. 거부 시퀀스 추가 대화 상자에서 차단하려는 URL 시퀀스를 입력한 다음 확인을 클릭합니다.
    거부 시퀀스 추가 대화 상자의 이미지.
    예를 들어 서버에서 디렉터리 변환을 방지하려면 대화 상자에 두 개의 마침표("..")를 입력합니다.

특정 파일 이름 확장명 액세스를 거부하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 요청 필터링 설정을 수정하려는 연결, 사이트, 애플리케이션 또는 디렉터리로 이동합니다.

  3. 창에서 요청 필터링을 두 번 클릭합니다.
    요청 필터링 애플리케이션이 선택된 홈 창의 스크린샷

  4. 요청 필터링 창에서 파일 이름 확장명 탭을 클릭한 다음 작업 창에서 파일 이름 확장명 거부...를 클릭합니다.
    기본 웹 사이트 홈에 강조 표시된 요청 필터링 애플리케이션의 이미지

  5. 파일 이름 확장명 거부 대화 상자에서 차단하려는 파일 이름 확장명을 입력한 다음 확인을 클릭합니다.
    해당 필드에 형식화된 파일 이름 확장명을 표시하는 파일 이름 확장명 거부 대화 상자의 이미지. 예를 들어 파일 이름 확장명을 .inc로 지정한 파일에 액세스할 수 없도록 하려면 대화 상자에 "inc"를 입력합니다.

숨겨진 세그먼트를 추가하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 요청 필터링 설정을 수정하려는 연결, 사이트, 애플리케이션 또는 디렉터리로 이동합니다.

  3. 창에서 요청 필터링을 두 번 클릭합니다.
    요청 필터링이 강조 표시된 인터넷 정보 서비스 I S 관리자의 홈 창 스크린샷

  4. 요청 필터링 창에서 숨겨진 세그먼트 탭을 클릭한 다음 작업 창에서 숨겨진 세그먼트 추가...를 클릭합니다.
    작업 창에 숨겨진 세그먼트 추가 옵션이 있는 숨겨진 세그먼트 탭이 표시된 요청 필터링 창의 이미지.

  5. 숨겨진 세그먼트 추가 대화 상자에서 숨길 상대 경로를 입력한 다음 확인을 클릭합니다.
    숨겨진 세그먼트 필드에 입력한 상대 경로를 보여 주는 숨겨진 세그먼트 추가 대화 상자의 스크린샷

HTTP 헤더에 대한 제한을 추가하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 요청 필터링 설정을 수정하려는 연결, 사이트, 애플리케이션 또는 디렉터리로 이동합니다.

  3. 창에서 요청 필터링을 두 번 클릭합니다.
    작업 창과 요청 필터링이 강조 표시된 기본 웹 사이트 홈 페이지의 이미지.

  4. 요청 필터링 창에서 머리글 탭을 클릭한 다음 작업 창에서 헤더 추가...를 클릭합니다.
    작업 창에 헤더 탭과 헤더 추가가 표시된 요청 필터링 창의 이미지.

  5. 헤더 추가 대화 상자에서 헤더 제한에 대해 원하는 HTTP 헤더 및 최대 크기를 입력한 다음 확인을 클릭합니다.
    H T T P 헤더 및 크기 제한에 대한 필드가 있는 헤더 추가 대화 상자의 스크린샷

    예를 들어 "Content-type" 헤더에는 요청에 대한 MIME 형식이 포함됩니다. 값을 100으로 지정하면 "Content-type" 헤더의 길이가 100바이트로 제한됩니다.

HTTP 동사를 거부하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 요청 필터링 설정을 수정하려는 연결, 사이트, 애플리케이션 또는 디렉터리로 이동합니다.

  3. 창에서 요청 필터링을 두 번 클릭합니다.
    요청 필터링 애플리케이션이 강조 표시된 홈 창의 스크린샷

  4. 요청 필터링 창에서 HTTP 동사 탭을 클릭한 다음 작업 창에서 동사 거부...를 클릭합니다.
    작업 창에서 H T T P 동사 탭 및 동사 거부 옵션을 보여 주는 요청 필터링 창의 이미지.

  5. 동사 거부 대화 상자에서 차단하려는 HTTP 동사를 입력한 다음 확인을 클릭합니다.
    동사 필드에 H TT P 동사가 입력된 동사 거부 대화 상자의 이미지입니다.

    예를 들어 서버에 대한 HTTP TRACE 요청을 방지하려면 대화 상자에 "TRACE"를 입력합니다.

구성

특성

attribute Description
allowDoubleEscaping 선택적 부울 특성입니다.

true로 설정하면 요청 필터링을 통해 이중 이스케이프 문자가 있는 URL이 허용됩니다. false로 설정하면 두 번 이스케이프된 문자가 URL에 있는 경우 요청 필터링이 요청을 거부합니다.

기본값은 false입니다.
allowHighBitCharacters 선택적 부울 특성입니다.

true로 설정하면 요청 필터링을 통해 URL에 ASCII가 아닌 문자가 허용됩니다. false로 설정하면 높은 비트 문자가 URL에 있는 경우 요청 필터링이 요청을 거부합니다.

기본값은 true입니다.
removeServerHeader 선택적 부울 특성입니다.

true로 설정하면 요청 필터링이 IIS 서버 헤더를 표시하지 않습니다. false로 설정하면 IIS는 기본 서버 헤더를 반환합니다. (참고: 이 특성은 IIS 10.0에서 추가되었으며 Windows Server 버전 1709 또는 Windows 10 버전 1709 이전의 Windows 버전에서는 작동하지 않습니다.)

기본값은 false입니다.
unescapeQueryString 선택적 부울 특성입니다.

true로 설정하면 요청 필터링은 각 쿼리 문자열 검사에서 두 번의 패스를 수행합니다. 첫 번째 패스는 원시 쿼리 문자열을 검색하고, 두 번째 패스는 IIS가 이스케이프 시퀀스를 디코딩한 후 쿼리 문자열을 검사합니다. false로 설정하면 요청 필터링은 클라이언트에서 보낸 원시 쿼리 문자열만 확인합니다.

참고: 이 특성은 IIS 7.5에 추가되었습니다.

기본값은 true입니다.

자식 요소

요소 Description
alwaysAllowedQueryStrings 선택적 요소입니다.

필터링을 요청하는 쿼리 문자열의 컬렉션을 항상 허용하도록 지정합니다.

참고: 이 요소는 IIS 7.5에 추가되었습니다.
alwaysAllowedUrls 선택적 요소입니다.

필터링을 요청하는 URL 컬렉션이 항상 허용되도록 지정합니다.

참고: 이 요소는 IIS 7.5에 추가되었습니다.
denyQueryStringSequences 선택적 요소입니다.

필터링을 요청하는 쿼리 문자열 시퀀스의 컬렉션이 항상 거부되도록 지정합니다.

참고: 이 요소는 IIS 7.5에 추가되었습니다.
denyUrlSequences 선택적 요소입니다.

웹 서버에서 URL 기반 공격을 방지하기 위해 거부해야 하는 시퀀스를 지정합니다.
fileExtensions 선택적 요소입니다.

웹 서버로 전송되는 요청 유형을 제한하기 위해 허용되거나 거부되는 파일 이름 확장명을 지정합니다.
filteringRules 선택적 요소입니다.

사용자 지정 요청 필터링 규칙의 컬렉션을 지정합니다.

참고: 이 요소는 IIS 7.5에 추가되었습니다.
hiddenSegments 선택적 요소입니다.

특정 URL 세그먼트를 클라이언트에 액세스할 수 없도록 지정합니다.
requestLimits 선택적 요소입니다.

웹 서버에서 처리한 요청에 대한 제한을 지정합니다.
verbs 선택적 요소입니다.

웹 서버로 전송되는 요청 유형을 제한하기 위해 허용되거나 거부되는 HTTP 동사를 지정합니다.

구성 샘플

Web.config 파일의 다음 구성 샘플은 여러 보안 관련 작업을 수행합니다.

  • 두 URL 시퀀스에 대한 액세스를 거부합니다. 첫 번째 시퀀스는 디렉터리 변환을 방지하고 두 번째 시퀀스는 대체 데이터 스트림에 대한 액세스를 방지합니다.
  • 목록에 없는 파일 이름 확장명 및 목록에 없는 HTTP 동사에 대한 액세스를 거부합니다.
  • URL의 최대 길이를 2KB로 설정하고 쿼리 문자열의 최대 길이를 1KB로 설정합니다.
<configuration>
   <system.webServer>
      <security>
         <requestFiltering>
            <denyUrlSequences>
               <add sequence=".." />
               <add sequence=":" />
            </denyUrlSequences>
            <fileExtensions allowUnlisted="false" />
            <requestLimits maxUrl="2048" maxQueryString="1024" />
            <verbs allowUnlisted="false" />
         </requestFiltering>
      </security>
   </system.webServer>
</configuration>

샘플 코드

다음 코드 샘플에서는 디렉터리 변환(".."), 대체 데이터 스트림(":") 및 백슬라이시("")의 세 가지 URL 시퀀스에 대한 액세스를 거부하는 방법을 보여 줍니다.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='..']" 

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence=':']" 

appcmd.exe set config "Default Web Site" -section:system.webServer/security/requestFiltering /+"denyUrlSequences.[sequence='\']"

PowerShell

Start-IISCommitDelay

$denyUrlSequences = Get-IISConfigSection -CommitPath 'Default Web Site' -SectionPath 'system.webServer/security/requestFiltering' | Get-IISConfigCollection -CollectionName 'denyUrlSequences'

New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '..' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = ':' }
New-IISConfigCollectionElement -ConfigCollection $denyUrlSequences -ConfigAttribute @{ 'sequence' = '\' }

Stop-IISCommitDelay

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetWebConfiguration("Default Web Site");

         ConfigurationSection requestFilteringSection = config.GetSection("system.webServer/security/requestFiltering");

         ConfigurationElementCollection denyUrlSequencesCollection = requestFilteringSection.GetCollection("denyUrlSequences");

         ConfigurationElement addElement = denyUrlSequencesCollection.CreateElement("add");
         addElement["sequence"] = @"..";
         denyUrlSequencesCollection.Add(addElement);

         ConfigurationElement addElement1 = denyUrlSequencesCollection.CreateElement("add");
         addElement1["sequence"] = @":";
         denyUrlSequencesCollection.Add(addElement1);

         ConfigurationElement addElement2 = denyUrlSequencesCollection.CreateElement("add");
         addElement2["sequence"] = @"\";
         denyUrlSequencesCollection.Add(addElement2);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetWebConfiguration("Default Web Site")
      Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.webServer/security/requestFiltering")
      Dim denyUrlSequencesCollection As ConfigurationElementCollection = requestFilteringSection.GetCollection("denyUrlSequences")

      Dim addElement As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement("sequence") = ".."
      denyUrlSequencesCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement1("sequence") = ":"
      denyUrlSequencesCollection.Add(addElement1)

      Dim addElement2 As ConfigurationElement = denyUrlSequencesCollection.CreateElement("add")
      addElement2("sequence") = "\"
      denyUrlSequencesCollection.Add(addElement2)

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site";
var requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection;

var addElement = denyUrlSequencesCollection.CreateNewElement("add");
addElement.Properties.Item("sequence").Value = "..";
denyUrlSequencesCollection.AddElement(addElement);

var addElement1 = denyUrlSequencesCollection.CreateNewElement("add");
addElement1.Properties.Item("sequence").Value = ":";
denyUrlSequencesCollection.AddElement(addElement1);

var addElement2 = denyUrlSequencesCollection.CreateNewElement("add");
addElement2.Properties.Item("sequence").Value = "\\";
denyUrlSequencesCollection.AddElement(addElement2);

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Default Web Site"
Set requestFilteringSection = adminManager.GetAdminSection("system.webServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set denyUrlSequencesCollection = requestFilteringSection.ChildElements.Item("denyUrlSequences").Collection

Set addElement = denyUrlSequencesCollection.CreateNewElement("add")
addElement.Properties.Item("sequence").Value = ".."
denyUrlSequencesCollection.AddElement(addElement)

Set addElement1 = denyUrlSequencesCollection.CreateNewElement("add")
addElement1.Properties.Item("sequence").Value = ":"
denyUrlSequencesCollection.AddElement(addElement1)

Set addElement2 = denyUrlSequencesCollection.CreateNewElement("add")
addElement2.Properties.Item("sequence").Value = "\"
denyUrlSequencesCollection.AddElement(addElement2)

adminManager.CommitChanges()