iT邦幫忙

第 12 屆 iThome 鐵人賽
DAY 26
2
Security

資安這條路─以自建漏洞環境學習資訊安全系列 第 26

資安這條路 26- [Web 伺服器軟體] IIS (Internet Information Services)

12th鐵人賽
5918 瀏覽

  • 分享至 

  • xImage
    •  
  • Internet Information Services
    • IIS
    • 微軟提供的 Web 伺服器軟體
  • 以 Windows 10 IIS 為例子

身份驗證功能

  • 站台 > Default Web Site

    • 預設:匿名驗證 (Anonymous Authentication)
      • 匿名驗證:不需要輸入任何帳號密碼
      • 啟用之後不會啟動其他身分驗證
    • 其他還有驗證方式
      • 基本驗證
      • Windows 驗證
      • Digest Authentication 摘要驗證
      • 表單驗證 (Form Authentication)
      • Universal Naming Convention (UNC) Authentication
      • Client Certificate Mapping Authentication

  • 針對目錄的訪問

    • 右鍵 > 編輯權限 > 安全性
    • 可以看到各群組跟使用者分別的權限

  • 應用程式集區

    • 建議針對每個單一網站,獨立設定應用程式集區
      • 可以為了 32 位元網站,啟用 32 位元應用程式集區

  • 瀏覽目錄

    • 預設為關閉
    • 若打開可能有目錄遍歷的問題

  • 關閉上傳目錄的執行權限

    • 進入資料夾 > 處理常式對應 > 編輯功能權限
    • 將指令碼的選項取消勾選

  • 開啟日誌紀錄

    • 首頁 > 點選紀錄
    • 紀錄 Log 請做好備份

  • IIS 漏洞

    • WebDAV
      • IIS 6.0
      • WebDAV 開啟
      • Guest 帳號有寫入的權限
      • 可造成任意文件上傳
      • 可以使用 IIS PUT SCANNER 查看是否有寫入權限

資料來源


上一篇
資安這條路 25- [Web 伺服器軟體] Nginx
下一篇
資安這條路 27 - [伺服器軟體]Web 應用伺服器-Tomcat、Weblogic、Websphere、Jboss
系列文
資安這條路─以自建漏洞環境學習資訊安全31
  1. 27
    資安這條路 27 - [伺服器軟體]Web 應用伺服器-Tomcat、Weblogic、Websphere、Jboss
  2. 28
    資安這條路 28 - [作業系統] Windows、Linux
  3. 29
    資安這條路 29 - [滲透測試] 滲透測試流程、資訊安全概論
  4. 30
    資安這條路 30 - [WebSecurity] 統整弱點
  5. 31
    資安這條路 31 - [WebSecurity] 資源分享
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22202
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙