三种方法解决IIS 6　目录检查安全漏洞

www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------

 一、Windows2003EnterpriseEditionIIS6目录检查的描述 1、Windows2003EnterpriseEdition是微软目前主流的器操作系统。Windows2003IIS6存在着文件解析路径的，当文件夹名为类似hack.ASP的时候（即文件夹名看起来像一个ASP文件的文件名），此时此文件夹下的任何类型的文件都可以在IIS中被当做ASP程序来执行。这样即可上传扩展名为.jpg或.gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。 2、扩展名为.jpg/.gif的木马检查方法： 在资源管理器中使用详细资料方式，按类别查看。点“查看”菜单－－“选择详细信息”－－勾选上“尺寸”，确定。此时，正常的图片文件会显示出图片的尺寸大小，如果没有显示，则99%可以肯定是木马文件。用记事本程序打开即可100%确定. 3、影响的范围： 安装了IIS6的器(windows2003)，特征网站的管理权限被盗、导致网站被黑。因为微软尚未发布这个的补丁，所以几乎所有网站都会存在这个。 二、如何解决IIS6安全? A方案：打补丁 本来安装补丁是一种比较保险的方法，可是已发现一段时间了，微软一直没有发布相关的补丁。 B方案：网站程序员解决 对于那些允许注册的网站来说，在网站程序编写的时候，程序员通常为了管理方便，便以注册的用户名为名称来建立一个文件夹，用以保存该用户的。例如一些图片、文字等等信息。们就是利用了这一特点，特意通过网站注册一个以.或者.cer的后续名作注册名，然后通过如把含有木马的ASP文件的.asp后缀改成.jpg等方法，把文件上传到器，由于IIS6，jpg文件可以通过IIS6来运行，木马也随着运行，达到了攻击网站的目的，这种情况，可以由程序员对注册用户名称进行限制，排除一些带有*.asp*.asa等字符为名的注册名。加强网站自身的安全和防范措施。另外，要阻止用户对文件夹进行重命名操作。 这种方法在一定程度上可以防范一些攻击行为，但是这种方法实现起来非常麻烦，网站的开发人员在程序安全性方面必须掌握相当好的，并且必须要对整个网站涉及文件管理方面的程序进行检查，一个网站少则几十，多则上千个文件，要查完相当费时，并且难免会漏掉其中一两个。 另外，目前有很多现成的网站系统只要下载后上传到空间就可以用，开发这些现有网站系统的程序员水平参差不齐，难免其中一些系统会存在这种，还有相当一部分系统的源码是加密过的，很多站长想改也改不动，面对无乎无能为力。 C方案：器配置解决 网站管理员可以通过修改器的配置来实现对这个的预防。如何对器进行配置呢？很多网站都允许用户上传一定数量的图片、Flash等，很多时候网站开发人员为了日后管理方便，对上传的文件都统一放到指定的一个文件夹里面，管理员只要对该文件夹的执行权限设置成“无”，这样一定程度可以对进行预防。 D方案：商解决器商对器进行统一的整体性过滤，通过编写组件来限制这种行为。但是能做到这种的主机供应商不多。

【免费加入会员】【我要投稿】【关闭本页】