IIS安全加固策略-應對攻擊入侵策略

　　1. 緩沖區溢出

　　簡單解釋一下，緩沖區溢出主要因為提交的數據長度超出了服務器正常要求，導致服務器檢查代碼錯誤。而溢出的方法有可以分為：基於堆棧的溢出和基於堆的溢出。在IIS 6以前的版本，Web服務是運行在LocalSystem賬戶下，當某個黑客利用緩沖區溢出的漏洞入侵後，當然就可以執行大部分的管理員命令了。

　　利用該漏洞比較名的病毒是“紅色代碼(Redcode)”和“尼姆達(Nimda)”。eEye Digital Security 公司早於1996年就發現了這類漏洞的代表作HTR緩沖區漏洞。eEye發現，IIS抵抗力十分脆弱。如果攻擊傳遞給IIS，那麼輸入值將不是一串字母而是可以執行的系統命令。HTR文件的解釋程序是將一個以.htr結尾的超長文件在ism.dll中造成輸入緩沖區溢出。

　　我們早已用不到HTR了(筆者個人的理解)，那只是早些時候，微軟腳本編程用到的，早已經被ASP技術取代。

　　說明：根據上文的說明我們知道一個漏洞的根源就是.htr文件與System32目錄下的ism.dll存在著關聯，如果將ism.dll和.htr文件之間存在的映射關系斷開，或者刪除了ism.dll，就可以解決了。

　　2. 臭名昭著的Unicode

　　首先要知道什麼是Unicode二次解碼漏洞?打開IE，選擇“查看→編碼→Unicode(UTF-8)”，在沒有創造Unicode之前，沒有一個編碼可以包含足夠的字符來容納數百種的數字編碼。比如我們要看一個繁體中文(BIG5)的網頁，在你的簡體中文版的Windows 系統上，沒有Unicode的支持就不可能實現。

　　如果非法用戶提交一些特殊的編碼，將導致IIS錯誤地打開或者執行某些Web根目錄以外的文件。那麼，未經授權的用戶可以利用IUSR_machinename賬號訪問用戶目錄的任何文件。同時，我們有知道這個賬號在默認情況下屬於Everyone和Users組，Windows 2000 Server默認的安全權限是“Everyone完全控制”因此任何能被這些用戶組訪問的文件都可能被刪除、修改或執行。

　　說明：可以限制網絡用戶訪問和調用CMD命令的權限;若沒必要使用Scripts和Msadc目錄，可以刪除或者重新命名;還有一個問題，安裝Windows NT系統時不使用默認的WINNT路徑。

　　3.FrontPage 服務器擴展漏洞

　　對於安裝FrontPage服務器的網站，通常會在Web目錄(缺省)下有若干個以字母“_vti”開頭的目錄，正是這些目錄為黑客提供了可乘之機。我們可以從搜索引擎上搜索默認的Frontpage目錄，這時我們能從引擎上返回大量的信息。

　　說明：你真的需要FrontPage 服務器擴展嗎?我是從來沒有用過，這都是默認安裝的時候為我們帶來的隱患。如果不需要，直接卸載了該服務就沒問題了。