萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> IIS安全加固策略-應對攻擊入侵策略

IIS安全加固策略-應對攻擊入侵策略

  1. 緩沖區溢出

  簡單解釋一下,緩沖區溢出主要因為提交的數據長度超出了服務器正常要求,導致服務器檢查代碼錯誤。而溢出的方法有可以分為:基於堆棧的溢出和基於堆的溢出。在IIS 6以前的版本,Web服務是運行在LocalSystem賬戶下,當某個黑客利用緩沖區溢出的漏洞入侵後,當然就可以執行大部分的管理員命令了。

  利用該漏洞比較名的病毒是“紅色代碼(Redcode)”和“尼姆達(Nimda)”。eEye Digital Security 公司早於1996年就發現了這類漏洞的代表作HTR緩沖區漏洞。eEye發現,IIS抵抗力十分脆弱。如果攻擊傳遞給IIS,那麼輸入值將不是一串字母而是可以執行的系統命令。HTR文件的解釋程序是將一個以.htr結尾的超長文件在ism.dll中造成輸入緩沖區溢出。

  我們早已用不到HTR了(筆者個人的理解),那只是早些時候,微軟腳本編程用到的,早已經被ASP技術取代。

  說明:根據上文的說明我們知道一個漏洞的根源就是.htr文件與System32目錄下的ism.dll存在著關聯,如果將ism.dll和.htr文件之間存在的映射關系斷開,或者刪除了ism.dll,就可以解決了。

  2. 臭名昭著的Unicode

  首先要知道什麼是Unicode二次解碼漏洞?打開IE,選擇“查看→編碼→Unicode(UTF-8)”,在沒有創造Unicode之前,沒有一個編碼可以包含足夠的字符來容納數百種的數字編碼。比如我們要看一個繁體中文(BIG5)的網頁,在你的簡體中文版的Windows 系統上,沒有Unicode的支持就不可能實現。

  如果非法用戶提交一些特殊的編碼,將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件。那麼,未經授權的用戶可以利用IUSR_machinename賬號訪問用戶目錄的任何文件。同時,我們有知道這個賬號在默認情況下屬於Everyone和Users組,Windows 2000 Server默認的安全權限是“Everyone完全控制”因此任何能被這些用戶組訪問的文件都可能被刪除、修改或執行。

  說明:可以限制網絡用戶訪問和調用CMD命令的權限;若沒必要使用Scripts和Msadc目錄,可以刪除或者重新命名;還有一個問題,安裝Windows NT系統時不使用默認的WINNT路徑。

  3.FrontPage 服務器擴展漏洞

  對於安裝FrontPage服務器的網站,通常會在Web目錄(缺省)下有若干個以字母“_vti”開頭的目錄,正是這些目錄為黑客提供了可乘之機。我們可以從搜索引擎上搜索默認的Frontpage目錄,這時我們能從引擎上返回大量的信息。

  說明:你真的需要FrontPage 服務器擴展嗎?我是從來沒有用過,這都是默認安裝的時候為我們帶來的隱患。如果不需要,直接卸載了該服務就沒問題了。

copyright © 萬盛學電腦網 all rights reserved