IIS安全漏洞
当A S P以其灵活、简单、实用、强大的特性迅速风靡全球网站的时候,其本身的一些缺陷、 漏洞也正威胁着所有的网站开发者。所有的A S P应用程序开发者应密切关注,提高警惕。微软再次被指责对其出品的 We b服务器软件的安全问题不加重视。在微软的流行产品 I I S
S e v e r 4 . 0中发现存在一种被称为“非法H T R请求”的缺陷。据微软称,此缺陷在特定情况下会导
致任意代码都可以在服务器端运行。但用发现这一漏洞的 I n t e r n e t安全公司e E y e的CEO Firas
B u s h n a q的话说:这只是冰山一角而已。 B u s h n a q说,微软隐瞒了些情况,比如***可以利用这
一漏洞对I I S服务器进行完全的控制,而恰恰许多电子商务站点是基于这套系统的。
尽管I I S存在一些漏洞,但它的强大功能正被许多程序开发者所认识,而微软也在不断地发
行更高版本的A S P,以提高其安全性。我们不能因为一些缺陷而放弃功能如此强大而又易于学习
使用的服务器应用程序开发环境。为了尽量使自己的网站安全,使自己的 A S P应用程序安全,应
合理进行I I S的系统配置。
以下是I I S系统配置的安全性建议,希望能给大家一些帮助:
* 使用最新版本的I I S 4 . 0,并安装N T最新版本的Service Pack5,服务器的文件系统不要使用
FAT,应该使用N T F S。
* 把I I S中的s a m p l e、s c r i p t s、i i s a d m i n和m s a d c等We b目录设置为禁止匿名访问并限制I P地址。
在微软还没有提供补丁之前,把i s m . d l l有关的应用程序映射删除。
* 有条件的话就采用防火墙机制,最简单的方法有, We b服务器开在前台,目录放在后台。
如果能用一个服务器一台机当然最好。
* We b目录、C G I目录、s c r i p t s目录和w i n n t目录等重要目录要用N T F S的特性设置详细的安全
权限,包含注册表信息的 Wi n n t目录只允许管理员完全控制,一般的用户只读的权限也不
要给。凡是与系统有关的重要文件,除了A d m i n i s t r a t o r,其他账号都应该设置为只读权限,而不是e v e r y o n e。
* 只开你需要的服务,关掉所有不应该打开的端口,如N e t B i o s端口1 3 9,这是一个典型的危险
端口;怎样禁止这些端口?除了使用防火墙外, N T的T C P / I P设置里面也提供了这种功能:
打开“控制面板|网络|协议| T C P / I P |属性|高级|启用安全机制|配置”,这里面提供了T C P和
U D P端口的限制和I P协议的限制功能。
* 管理员的账号要设置得复杂一些,建议加入特殊字符。
页:
[1]