| IIS'te Http Metotlarını Açma ve Kapama (GUI ile) | |||||
(+) Birebir Windows Server 2008 R2 ve 2012 R2’de denenmiştir ve başarılı olunmuştur. IIS sunucularda http metotlarını kapamak için IIS Manager arayüzü kullanılabilir. Bu işlem IIS Request Filtering ekranındaki Http Verbs sekmesinde Edit Features ayar penceresinde yer alan AllowUnlistedVerbs tick kutucuğunun tick’li olup olmamasına göre iki farklı şekilde yapılabilir. Şöyle ki: i) Request Filtering -> Http Verbs sayfasında yer alan Edit Features penceresinde AllowUnlistedVerbs Tick’liyken
// Yasaklanacak Tüm Http Metotları Girme
IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Deny -> TRACE IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Deny -> OPTIONS ii) Request Filtering -> Http Verbs sayfasında yer alan Edit Features penceresinde AllowUnlistedVerbs Tick’li Değilken
// İzin Verilecek Tüm Http Metotları Girme
IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Allow -> HEAD IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Allow -> GET IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Allow -> POST Burada Edit Features’da yer alan AllowUnlistedVerbs seçeneği tick’li olursa yasaklanacak tüm http metotlarının girilmesi zorunlu olur, veya tick’siz olursa izin verilecek tüm http metotlarının girilmesi zorunlu olur. Yani tick varsa tüm yasaklanacak http metotları girilmelidir, tick yoksa tüm izin verilecek http metotları girilmelidir. Burada kullanılan Deny ve Allow butonları IIS Manager ekranındaki bilgilendirme baloncuğu ifadesi doğrultusunda kullanılmışlardır. IIS Manager bilgilendirme baloncuğuna göre Deny ve Allow butonları http talebi arayüze ekleme işleminde http talebinin konfigurasyon satırında allowed attribute değerinin false mu true mu olacağını belirlemektedir. Eğer AllowUnlistedVerbs tick’liyse girilecek yasaklı http metotları Deny butonu ile girilmelidir ki böylece yasaklı http metotları allowed attribute’ları false değerde olsun: 
Eğer AllowUnlistedVerbs tick’li değilse girilecek izinli http metotları Allow butonu ile girilmelidir ki böylece izinli http metotları allowed attribute’ları true değerde olacaktır: 
Sonuç olarak a) Yöntem I: Yasaklı Http Metotlarını Belirtme
IIS Manager -> Request Filtering -> Http Verbs -> AllowUnlistedVerbs [Tick’li]
IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Deny -> TRACE IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Deny -> OPTIONS b) Yöntem II: İzinli Http Metotlarını Belirtme
IIS Manager -> Request Filtering -> Http Verbs -> AllowUnlistedVerbs [Tick’li Değil]
IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Allow -> HEAD IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Allow -> GET IIS Manager -> Request Filtering -> Http Verbs -> Actions -> Allow -> POST Not: IIS Manager -> Request Filtering -> Http Verbs ekranında yapılan değişiklikler sunucu yeniden başlatılmadan da işler duruma geçebilmektedir. Değişiklikler dinamik olarak gerçekleşmektedir. Uyarı Http methodları arasında sadece “TRACE” methodu yukarıda bahsedilen yöntemle açılamamaktadır. Fakat kapatma işlemi yapılabilmektedir. Http Trace metodu çalışmak için handler’a ihtiyaç duyduğundan açık olamamaktadır. Http Verbs TRACE dışındaki tüm http methodları için aç / kapa özelliği gerçekleştirebilmektedir. |
|||||
Bu yazı 23.05.2025 tarihinde, saat 02:24:30'de yazılmıştır.
22.05.2025 tarihi ve 23:41:02 saatinde ise güncellenmiştir. |
|||||
|
|||||
| Yorumlar |
|||||
| Henüz yorum girilmemiştir. | |||||
| Yorum Ekle | |||||
|
|
|||
| -> | Genel | ||
| -> | Webgoat Uygulaması | ||
| -> | DVWA Uygulaması | ||
| -> | Çeşitli Sızma Teknikleri | ||
| -> | Siber Güvenlik Araçları | ||
| -> | Linux Temelleri | ||
| -> | Siber Güvenlik Genel Kültür | ||
|
|
|||
|
|