发信人: mclarengtr97()
整理人: williamlong(2000-05-13 01:19:51), 站内信件
|
摘要
如果一个非管理员的用户把可执行的代码放到一个Web站点上的允许文件执行的目 录,则那个用户可
以运行某种应用程序,损害那台Web服务器。
解决建议
管理员应该验证所有的虚拟HTTP服务器上的已被标成可执行的目录的访问权限。 详见下面建议的安全
权限。
由于服务器允许在本地执行代码,所有的安全补包应该安装到HTTP服务器上,至 少可以防止来自本地
的攻击。详细信息见于 http://www.microsoft.com/security
描述
下列目录在安装IIS 4.0时,已被缺省地标志成可执行:
/W3SVC/1/ROOT/msadc
/W3SVC/1/ROOT/News
/W3SVC/1/ROOT/Mail
/W3SVC/1/ROOT/cgi-bin
/W3SVC/1/ROOT/SCRIPTS
/W3SVC/1/ROOT/IISADMPWD
/W3SVC/1/ROOT/_vti_bin
/W3SVC/1/ROOT/_vti_bin/_vti_adm
/W3SVC/1/ROOT/_vti_bin/_vti_aut
按缺省安装IIS后,下列的物理驱动器被映像为:
msadc c:\program files\common\system\msadc
News c:\InetPub\News Mail c:\InetPub\Mail cgi-bin c:\InetPub\wwwroot\c gi-bin
SCRIPTS c:\InetPub\scripts
IISADMPWD C:\WINNT\System32\inetsrv\iisadmpwd
_vti_bin Not present by default - installed with FrontPage extensions
要访问这些物理目录,可以通过这些方法进行:目录共享,远程命令(如 rcmd, telnet, remote.exe等),HTTP PUT命令,或者FrontPage。所有这些方法在缺省 安装时是没有的,它们通常
都是由管理员后来加上的。缺省的NTFS权限是非常开放的,缺省地,允许Everyo ne组具有change控
制(RWXD)的权限,除了msadc对Everyone有完全控制的权限例外。由于这些目录的 敏感特性,这里建
议的是,它们的NTFS访问权限应该是:
Administrator, LocalSystem: Full Control (完全控制)
Everyone: Special Access(X) (特别访问)
管理员应该严格检查所有能够访问文件系统的路径,对所有那些允许文件执行的 Web目录保持警觉。
另外,如果一个用户被授权允许管理他自己的站点,他们可能有权利设置一个目 录为可执行。这时,
管理员应该只允许那些允许的文件类型可以复制到真正的Web站点。
另外,ISS高度地建议仔细阅读微软的IIS Resource Kit (Microsoft Press)中第 8章有关安全设
置的详细信息。我们感谢微软的Michael Howard和Jason Garms所给出的建议和观 点。
-- ※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.98.142.214]
|
|