安全維護 IIS ASP 站點的高級技巧(1)

2024-08-29 03:09:54

字體：大中小

供稿：網(wǎng)友

一. 前言

　　（僅以此文感謝好友bigeagle。不是他，我可能不用這么擔心win2000安全問題的。呵呵！）

　　人說，一朝被蛇咬，十年怕.....，就是這樣。2000年初，當我終于擺脫winnt 4.0 server那可怕的補丁之旅，邁向win2000 server時。我終于可以比較放心我的服務(wù)器了。但隨著SQL SERVER的補丁出現(xiàn)。我知道，與微軟的補丁因緣又開始輪回了。但還好。win2000自動化的管理還是讓我放心好多，而以前管理winnt后的失眠癥狀也逐漸消失了。偶爾還能見到我的"夢"老弟。但這一切都伴隨者同bigeagle的一次知心交談中付之東流了。一次，bigeagle發(fā)來qq，給我看了一段代碼。我一看就知道這不是bigeagle寫的代碼，那么爛，不過有點熟悉。再一看，啊？！這不是我的數(shù)據(jù)庫連接字符串嗎！！GOD。頓時覺得有一種不祥的預兆。不過還好，這個只是個access的，我還用了一些手段防止他被下載。但這足以讓我長時間的失眠又來了。（再次說明，bigeagle不是蛇，他是鷹）

二. 安裝過程中的IIS 與 ASP安全防護

　　（這里只考慮是Web服務(wù)器，而不是本地機子上的web開發(fā)平臺。）
接下來的幾天有是幾個難熬的日子。我開始重新部署win2000 Web服務(wù)器的安全策略。找到ASP代碼被泄漏的原因。原來，我的補丁每次打得都比較及時的。但一次因為卸載FTP時，重裝了IIS，而這之后，我并沒有再打補丁而導致最新的漏洞web解析出錯。（就是那個較新的漏洞 Translate :f，用這個加上一些工具就可以看到ASP的代碼了。）

　　首先，開始重裝IIS。

　　這次安裝的策略就是安全，夠用。去掉一些多余的東西。

　　1. FTP不要安裝了，功能不好，還容易出錯，并且漏洞很大。Ftp缺省傳輸密碼的過程可是明文傳送，很容易被人截獲。（可以考慮用第三方工具。）

　　2. 一切實例、文檔也不要安裝了。這是在Web服務(wù)器上，最好不要這些例子，事實證明可以從這些例子站點突破IIS的防線的。

　　3. 安裝時選擇站點目錄，建議不要用缺省目錄c:/inetpub，最好安裝道不是系統(tǒng)盤的盤上。如：
d:/IISWEB，可以考慮自建目錄。這樣即使IIS被突破，也能盡可能的保護好系統(tǒng)文件了

上一篇：安全性與IIS

下一篇：深入剖析IIS 6.0(1)