Microsoft IIS 真的如此「不安全」嗎？(1)

2019-11-18 20:28:27

字體：大中小

來源：轉載

供稿：網友

你的Windows 2000 /Internet Information Server （IIS） 5.0 Web 網站已經架設起來，準備開始運作時，卻發現它被安全漏洞所困擾著。安全性方面的漏洞當然可以彌補，但那要看你如何去應對。如果懷有惡意的駭客還沒有找到那些看不見的裂縫，這并不意味著你可以高枕無憂。他們可能只是還沒有發現到你的網站而已。

那么，這套最先進的操作系統和網絡服務器軟件怎么可以如此的不完善呢？事實不是這樣的。原來有很多安全缺口歸因于 Microsoft 在 IIS 中所提供的功能。如果適切的注意到這些屬性，它們將允許客制化（customization）的運用，在執行上更具彈性。但是當它們被忽略、誤解或不正確的使用時，它們就會成為受攻擊的弱點。

這些弱點所造成的影響可以是非常重大的。其中一個能使入侵者完全存取存放在網上的檔案文件系統。另一個使入侵者能夠看到 Active Server Pages（asp）的原始碼。還有一個允許入侵者在網絡服務器上執行操作系統命令。

也許這看起來像是 IIS 的問題，這并不意味著其它的網絡服務器能夠提供比 IIS 更嚴謹的安全性。Robichaux & Associates 安全顧問暨 Microsoft Technet 的專欄作家 Paul Robichaux 就表示，Windows 2000 系列的網絡服務器并不比其它服務器容易受到攻擊，幾乎所有的服務器都有各自的安全漏洞。

盛名所累成眾矢之的

Carnegie-Mellon University 的CERT Coordination Center 是一個致力于提高網絡安全、也是網上安全問題的極具指針性的一個網站。這個網站所報導的，是困擾著所有網絡服務器和相關產品的安全漏洞議題。

諷刺的是，知名度可能是促使 IIS 5.0 比Apache 等其它服務器更容易暴露安全漏洞的原因?？雌饋?，IIS 作為微軟的網絡旗艦產品，它的知名度足以吸引許多駭客的注意力。

所以壞消息就是，如果你只是簡單地執行 IIS，被駭客盯上的機率會比較大。好消息是，只要充分了解 IIS 并采取適當的保護措施，便可以有效阻止駭客的入侵。但 Robichaux 警告說，修補安全漏洞不像按下一個標有「安全的網站」的按鈕那么的簡單，保護你的網站可是需要新的技巧和工具。

上一篇：Microsoft IIS 真的如此「不安全」嗎？(2)

下一篇：提高ASP性能的最佳選擇（續四）