• 締切済み

IISでURLフィルタリングをする方法

IIS6.0でURLフィルタリングをかける方法を探しています。 やりたい事としては ・Webアプリ上で、URLにGetパラメータ不正入力によるアタックを規制したい。  そのため、URL内のGetパラメータを分析し、フィルタリングするルールを作りたい。 ・Webアプリ事態は元々IIS4.0で動いていた古い物である。  また、プログラム中Getパラメータを頻繁に利用しているため、Getそのものを  規制するわけにはいかない。 です。 URL承認(AuthUrl.dll)、Web.config、ASAPIのdll作成等を調べたのですが、 なかなか良い方法が見つかりません。 情報、アイディア、何でもいいので、何かご存知でしたらご教授いただけますと幸いです。 よろしくお願いします。 ◆システム構成 Windows Server 2003 IIS 6.0

みんなの回答

  • hequil
  • ベストアンサー率65% (242/372)
回答No.2

IIS6で検証したことはないですが、guard3.dllはいかがでしょうか?

参考URL:
http://www.trusnet.com/tools/guard3/
show200507
質問者

お礼

早速のご回答、ありがとうございます。 早速試してみます。

  • sam_inoue
  • ベストアンサー率47% (27/57)
回答No.1

ユーザー認証システムなのですが、こちらでやっているのは、 認証OK時点でSessionにSessionID自体を セッション破棄段階まで保持させておき、 各ページの先頭でこれが正しいかチェックしています。 アドレスバーに直接入力した場合は別セッションになるので判定できると思います。 また、フレームが使える環境であれば、 決まったフレーム構造にしてしまって、 呼ばれたページのウィンドウ名が正しいかを 併用すると良いと思います。

show200507
質問者

お礼

早速のご回答ありがとうございます。 今回のミッションでは現在のプログラム(IIS4.0で動いていたもの)に手を加えない事が条件になっておりまして、 残念ながらお教えいただいた手法は試せない状況です。 ですが、大変参考になりました。 ありがとうございました。

関連するQ&A

専門家に質問してみよう