我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统。世界上有很多网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows的漏洞,而这一切都是本来可以避免的。
你可能无法触及应用层面的漏洞,但是在服务器层面你有很多事情可以做到使基于IIS的系统更加安全。通过回顾我多年的网站安全评估项目,可以指出以下最影响Windows服务器的IIS漏洞。
未处理异常(HTTP 500 错误)的产生
这会泄露敏感的配置信息和促进SQL注入攻击。在服务器方面的解决方法是在以下服务器的web.conf文件中取消详细的错误信息。
<customErrors mode="RemoteOnly" defaultRedirect="AppErrors.aspx">
<error statusCode="404" redirect="NoSuchPage.aspx"/>
<error statusCode="403" redirect="NoAccessAllowed.aspx"/>
<error statusCode="500" redirect="RequestNotAllowed.aspx"/>
</customErrors>
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!