iis 非法关键字过滤器--ISAPI---通配符映射
第一次开博客,感觉怎么下笔这么难。写篇文章确实不容易,眼高手低治死人呀!!!既然开了博客就不能不写点东西,老空着也不像个事,呵呵。最近一直在写IIS 安全和iis 流量监控的程序,也是刚告一段落,拿上来和大家分享分享吧,大家见笑。
iis 非法信息过滤器
描述:
该程序主要作用是过滤来自客户端的get,post提交,如果包含我们既定的关键字就拒绝本次访问,并返回给客户端错误信息.以此达到提交信息过滤功能。
采用开发工具:
vc++ 6.0
详细说明:
iis本身是不具有信息过滤的功能的,我们只有自己写 ISAPI 程序来实现。
ISAPI说明:
ISAPI是iis 提供的编程接口,可以通过写ISAPI dll来增强iis 的功能,达到用户需求。写ISAPI一般都是用vc 和Delphi 开发,他们都提供了
编写ISAPI程序的库函数和结构体,我们调用实现就行了。另外一点(ISAPI程序实际上是加载到iis 进程里面和iis一起运行的,所以调试起来比较费劲)
具体关于ISAPI的详细说明,网上铺天盖地,这里我就不说了。
程序实现:
由于程序要支持iis 6.0,而MSDN上说IIS5.1和IIS6.0好像不支持OnReadRawData方法了(用来截获客户端的post请求信息的方法),所以没办法获取客户端传过来的原始数据。
这个问题网上也很多问的。iis6.0中我们可以采用通配符应用程序映射实现截获客户端得post信息。
实现:
1. vc 6.0 新建ISAPI 扩展工程
2.选择服务器扩展对象。
3.完成,vc会生成基本的ISAPI程序代码。
而我们主要是对DWORD WINAPI HttpExtensionProc(EXTENSION_CONTROL_BLOCK *pecb)函数进行编写
//用户和iis服务器之间进行通信,通信通过EXTENSION_CONTROL_BLOCK
DWORD WINAPI HttpExtensionProc(EXTENSION_CONTROL_BLOCK *pecb)
{
char *p = NULL;
DWORD dwStatus=HSE_STATUS_ERROR;
BOOL rc;
HSE_EXEC_URL_INFO ExecUrlInfo={0};
HSE_EXEC_URL_ENTITY_INFO *pEntity=NULL;
char *lpszTemp=NULL, *lpszContent=NULL;
DWORD cbQuery;
char *lpszQuery = NULL;
BOOLSuccess=FALSE;
BOOLMethodGet=TRUE;//get
if (!stricmp(pecb->lpszMethod, "get"))
{
lpszQuery = pecb->lpszQueryString;
}
else//post
{
MethodGet = FALSE;
if(pecb->cbTotalBytes > 0)
{
if(!(lpszTemp = (CHAR *)LocalAlloc(LPTR, pecb->cbTotalBytes)))
{
return HSE_STATUS_ERROR;
}
strcpy(lpszTemp,(const char *)pecb->lpbData);
if((cbQuery = pecb->cbTotalBytes - pecb->cbAvailable) > 0)
pecb->ReadClient(pecb->ConnID, (LPVOID) (lpszTemp + pecb->cbAvailable), &cbQuery);
lpszQuery = lpszTemp;
}
}
if (strlen(lpszQuery) !=0)
{
char * mem_name=NULL;
CString memname="";
CString fileData;
CString translateData;
for (int i=0 ;i < strarray.GetSize();i++)
{
GB2312ToUTF_8(fileData,strarray.GetBuffer(strarray.GetLength()),strarray.GetLength());
fileData=URLEncode(fileData);
//如何进入的为gb2312字码,就将文件数据转化为gb2312字码
if (strstr(lpszQuery,fileData) || strstr(lpszQuery,strarray))
{
goto Mark;
}
}
ExecUrlInfo.dwExecUrlFlags = HSE_EXEC_URL_IGNORE_CURRENT_INTERCEPTOR;
rc=pecb->ServerSupportFunction(pecb->ConnID, HSE_REQ_IO_COMPLETION, HseIoCompletionProc, NULL,(LPDWORD)pEntity);
if(!rc) goto Failed;
rc=pecb->ServerSupportFunction(pecb->ConnID, HSE_REQ_EXEC_URL, &ExecUrlInfo, NULL, NULL);
if(!rc) goto Failed;
return HSE_STATUS_PENDING;
}
//正常网页求情数据传输
else
{
ExecUrlInfo.dwExecUrlFlags = HSE_EXEC_URL_IGNORE_CURRENT_INTERCEPTOR;
rc=pecb->ServerSupportFunction(pecb->ConnID, HSE_REQ_IO_COMPLETION,HseIoCompletionProc, NULL, (LPDWORD)pEntity);
if(!rc) goto Failed;
rc=pecb->ServerSupportFunction(pecb->ConnID, HSE_REQ_EXEC_URL, &ExecUrlInfo, NULL, NULL);
if(!rc) goto Failed;
return HSE_STATUS_PENDING;
}
Failed:
if(dwStatus!=HSE_STATUS_PENDING)
{
if(NULL!=pEntity)
{
LocalFree(pEntity);
pEntity=NULL;
}
}
Mark:
char * message= "您提交的信息中含有非法字符,请求被终止";
DWORD dwSize = strlen(message);
pecb->WriteClient(pecb->ConnID,message, &dwSize, 0);
return dwStatus;
}
附------程序及使用说明文档,有兴趣的研究研究。
http://files.iyunv.com/zhuxiangyu/iis%e5%85%b3%e9%94%ae%e5%ad%97%e8%bf%87%e6%bb%a4.rar
页:
[1]