URLScan

URLScan é uma ferramenta de segurança da Microsoft que restringe com base em regras requests HTTP – muito provavelmente mal-intencionados – de serem executados. As regras incluem filtrar requests com variáveis com caracteres “estranhos”, com um conteúdo muito grande (na tentativa de um buffer overflow por exemplo), cabeçalhos anômalos, etc. Uma boa ferramenta.

Um pequeno problema é que a configuração padrão do URLScan bloqueia os requests que contenham pontos em seu endereço (exceto pelo nome do arquivo). E pontos no endereço é algo comum quando se utiliza a metodologia Fusebox; por exemplo, index.cfm?fuseaction=produto.home. Desse modo, aplicações utilizando Fusebox em um IIS com o URLScan podem não funcionar corretamente.

Para contornar esse problema, edite o arquivo {windows}system32inetsrvurlscanUrlScan.ini, e desligue a verificação de pontos:


AllowDotsInPath=1