精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 计算机安全>>◆系统漏洞◆>>IIS 4.0中的可执行目录受影响的版本

主题:IIS 4.0中的可执行目录受影响的版本
发信人: mclarengtr97()
整理人: williamlong(2000-05-13 01:19:51), 站内信件
摘要


如果一个非管理员的用户把可执行的代码放到一个Web站点上的允许文件执行的目
录,则那个用户可
以运行某种应用程序,损害那台Web服务器。

解决建议


管理员应该验证所有的虚拟HTTP服务器上的已被标成可执行的目录的访问权限。
详见下面建议的安全
权限。

由于服务器允许在本地执行代码,所有的安全补包应该安装到HTTP服务器上,至
少可以防止来自本地
的攻击。详细信息见于 http://www.microsoft.com/security

描述


下列目录在安装IIS 4.0时,已被缺省地标志成可执行:


/W3SVC/1/ROOT/msadc

/W3SVC/1/ROOT/News
/W3SVC/1/ROOT/Mail
/W3SVC/1/ROOT/cgi-bin
/W3SVC/1/ROOT/SCRIPTS
/W3SVC/1/ROOT/IISADMPWD
/W3SVC/1/ROOT/_vti_bin
/W3SVC/1/ROOT/_vti_bin/_vti_adm
/W3SVC/1/ROOT/_vti_bin/_vti_aut

按缺省安装IIS后,下列的物理驱动器被映像为:


msadc c:\program files\common\system\msadc

News c:\InetPub\News Mail c:\InetPub\Mail cgi-bin c:\InetPub\wwwroot\c
gi-bin 
SCRIPTS c:\InetPub\scripts 
IISADMPWD C:\WINNT\System32\inetsrv\iisadmpwd
_vti_bin Not present by default - installed with FrontPage extensions


要访问这些物理目录,可以通过这些方法进行:目录共享,远程命令(如 rcmd, 
telnet, remote.exe等),HTTP PUT命令,或者FrontPage。所有这些方法在缺省
安装时是没有的,它们通常
都是由管理员后来加上的。缺省的NTFS权限是非常开放的,缺省地,允许Everyo
ne组具有change控
制(RWXD)的权限,除了msadc对Everyone有完全控制的权限例外。由于这些目录的
敏感特性,这里建
议的是,它们的NTFS访问权限应该是: 

Administrator, LocalSystem: Full Control (完全控制) 
Everyone: Special Access(X) (特别访问) 

管理员应该严格检查所有能够访问文件系统的路径,对所有那些允许文件执行的
Web目录保持警觉。
另外,如果一个用户被授权允许管理他自己的站点,他们可能有权利设置一个目
录为可执行。这时,
管理员应该只允许那些允许的文件类型可以复制到真正的Web站点。

另外,ISS高度地建议仔细阅读微软的IIS Resource Kit (Microsoft Press)中第
8章有关安全设
置的详细信息。我们感谢微软的Michael Howard和Jason Garms所给出的建议和观
点。

--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.98.142.214]

[关闭][返回]