iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 26
1
Security

資安這條路─以自建漏洞環境學習資訊安全系列 第 26

資安這條路 26- [Web 伺服器軟體] IIS (Internet Information Services)

  • Internet Information Services
    • IIS
    • 微軟提供的 Web 伺服器軟體
  • 以 Windows 10 IIS 為例子

身份驗證功能

  • 站台 > Default Web Site

    • 預設:匿名驗證 (Anonymous Authentication)
      • 匿名驗證:不需要輸入任何帳號密碼
      • 啟用之後不會啟動其他身分驗證
    • 其他還有驗證方式
      • 基本驗證
      • Windows 驗證
      • Digest Authentication 摘要驗證
      • 表單驗證 (Form Authentication)
      • Universal Naming Convention (UNC) Authentication
      • Client Certificate Mapping Authentication
  • 針對目錄的訪問

    • 右鍵 > 編輯權限 > 安全性
    • 可以看到各群組跟使用者分別的權限
  • 應用程式集區

    • 建議針對每個單一網站,獨立設定應用程式集區
      • 可以為了 32 位元網站,啟用 32 位元應用程式集區
  • 瀏覽目錄

    • 預設為關閉
    • 若打開可能有目錄遍歷的問題
  • 關閉上傳目錄的執行權限

    • 進入資料夾 > 處理常式對應 > 編輯功能權限
    • 將指令碼的選項取消勾選
  • 開啟日誌紀錄

    • 首頁 > 點選紀錄
    • 紀錄 Log 請做好備份
  • IIS 漏洞

    • WebDAV
      • IIS 6.0
      • WebDAV 開啟
      • Guest 帳號有寫入的權限
      • 可造成任意文件上傳
      • 可以使用 IIS PUT SCANNER 查看是否有寫入權限

資料來源


上一篇
資安這條路 25- [Web 伺服器軟體] Nginx
下一篇
資安這條路 27 - [伺服器軟體]Web 應用伺服器-Tomcat、Weblogic、Websphere、Jboss
系列文
資安這條路─以自建漏洞環境學習資訊安全31

尚未有邦友留言

立即登入留言