当A S P以其灵活、简单、实用、强大的特性迅速风靡全球网站的时候,其本身的一些缺陷、
漏洞也正威胁着所有的网站开发者。所有的A S P应用程序开发者应密切关注,提高警惕。
微软再次被指责对其出品的 We b服务器软件的安全问题不加重视。在微软的流行产品 I I S
S e v e r 4 . 0中发现存在一种被称为“非法H T R请求”的缺陷。据微软称,此缺陷在特定情况下会导
致任意代码都可以在服务器端运行。但用发现这一漏洞的 I n t e r n e t安全公司e E y e的CEO Firas
B u s h n a q的话说:这只是冰山一角而已。 B u s h n a q说,微软隐瞒了些情况,比如黑客可以利用这
一漏洞对I I S服务器进行完全的控制,而恰恰许多电子商务站点是基于这套系统的。
尽管I I S存在一些漏洞,但它的强大功能正被许多程序开发者所认识,而微软也在不断地发
行更高版本的A S P,以提高其安全性。我们不能因为一些缺陷而放弃功能如此强大而又易于学习
使用的服务器应用程序开发环境。为了尽量使自己的网站安全,使自己的 A S P应用程序安全,应
合理进行I I S的系统配置。
以下是I I S系统配置的安全性建议,希望能给大家一些帮助:
* 使用最新版本的I I S 4 . 0,并安装N T最新版本的Service Pack5,服务器的文件系统不要使用
FAT,应该使用N T F S。
* 把I I S中的s a m p l e、s c r i p t s、i i s a d m i n和m s a d c等We b目录设置为禁止匿名访问并限制I P地址。
在微软还没有提供补丁之前,把i s m . d l l有关的应用程序映射删除。
* 有条件的话就采用防火墙机制,最简单的方法有, We b服务器开在前台,目录放在后台。
如果能用一个服务器一台机当然最好。
* We b目录、C G I目录、s c r i p t s目录和w i n n t目录等重要目录要用N T F S的特性设置详细的安全
权限,包含注册表信息的 Wi n n t目录只允许管理员完全控制,一般的用户只读的权限也不
要给。凡是与系统有关的重要文件,除了A d m i n i s t r a t o r,其他账号都应该设置为只读权限,而不是e v e r y o n e。
* 只开你需要的服务,关掉所有不应该打开的端口,如N e t B i o s端口1 3 9,这是一个典型的危险
端口;怎样禁止这些端口?除了使用防火墙外, N T的T C P / I P设置里面也提供了这种功能:
打开“控制面板|网络|协议| T C P / I P |属性|高级|启用安全机制|配置”,这里面提供了T C P和
U D P端口的限制和I P协议的限制功能。
* 管理员的账号要设置得复杂一些,建议加入特殊字符。
* 把F T P、Te l n e t的T C P端口改为非标准端口,通常笔者都是设置到 10 000~65 000的范围。
* 删除可以删除的所有共享,包括打印机共享和隐藏的共享如 I C P $和A d m i n $等,微软说这
些特殊共享资源很重要,大多数情况下不能删除,而实际上放在 I n t e r n e t上的机器大多数不
需要共享。 IPC$: 适用于远程管理计算机和查看共享资源,在网上最好不要用。Admin$: 实
际上就是 c : \ w i n n t,也没有必要共享。C$: 登录为A d m i n和B a c k u p - o p e r a t o r的用户可以用\ \
计算机名\ C $的方式访问C盘,虽然仅限于局域网 ,但是远程黑客也有办法伪装成局域网的
登录用户,所以都应该关掉。Print$: 这是放打印机驱动程序的目录,也是个很危险的入口。
Netlogon: 这是处理域登录请求的共享。如果你的机器为主域控制器,域内有其他机器要
登录进来,就不要删除它,否则照样可以删除。用“服务器管理器”|“共享目录”|“停
止共享”。
* 将A S P的目录集中管理,为A S P的程序目录设置详尽的访问权限。
* 把w i n n t下的s a m . _文件改名,实践证明这个可能泄露密码的文件可以删除不要。
* 对于已知的N T安全漏洞,都应该在自己的机器上做测试检查。并及时安装补丁程序。
* 有必要的情况下采用I I S 4 . 0提供的S S L安全通信机制来防止数据在网上被截获