大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。
Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺
摘要:介绍了IIS服务器常见的攻击及几种常见防御方式,阐述了IIS服务器的攻击原理,针对IIS服务器的缺陷阐述了IIS的常用防御方式,同时结合实例具体实现方式。
关键词:
IIS;服务器攻击;服务器防御
IIS;服务器攻击;服务器防御
中图分类号:TP393
文献标识码:
A
文献标识码:
A
0
引言
引言
随着Internet的不断发展与普及,英特网上出现了越来越多的WEB服务器。人们通过WEB服务器共享资源、交流信息。目前,主流的 WEB服务主要有APACHE、IIS(Internet Information Server)等,其中APACHE一般运行在Linux、Unix服务器上,而IIS则运行在Microsoft的Windows上。由于IIS简单、 易上手,WEB服务器中IIS占据了很大的一部分,然而IIS的暴露出的问题也是最多的,特别是加上ASP(IIS上普遍运行的网页脚本)本身的安全性极 为脆弱。作为有一年服务器管理经验的一个在校大学生,决定在此结合自己的经验来谈谈IIS的攻击与防御。
1
IIS
目前存在的几种攻击方式
IIS
目前存在的几种攻击方式
A
.%5c暴库,此法对于用ASP连接ACCESS数据库且用相对路径连接的有效,前提是网站目录有二级目录,目的是可以暴露出数据库的路径然后下载,如果数据库里有管理员账号则会给网站带来极大的安全隐患。信息学院新改版的学院网站就明显存在此漏洞,详情地址:
http://xxx.com/admin%5cshow.asp?articleid=184 ,由错误信息:
.%5c暴库,此法对于用ASP连接ACCESS数据库且用相对路径连接的有效,前提是网站目录有二级目录,目的是可以暴露出数据库的路径然后下载,如果数据库里有管理员账号则会给网站带来极大的安全隐患。信息学院新改版的学院网站就明显存在此漏洞,详情地址:
http://xxx.com/admin%5cshow.asp?articleid=184 ,由错误信息:
| 以下是引用片段: Microsoft JET Database Engine 错误 ’80004005’ ’d:/database/BuildByFishsoul.asp’不是一个有效的路径。确定路径名称拼写是否正确,以及是否连接到文件存放的服务器。 /admin/inc/conn.asp,行9 |
由错误信息很容易得到数据库地址:
/database/BuildByFishsoul.asp ,只是此数据库做了防下载,无法下载。
/database/BuildByFishsoul.asp ,只是此数据库做了防下载,无法下载。
B
.SQL注入,此法对于对输入字符串过滤不严的网站有效,我们学校的XXX讲坛在这个方面做得极差,虽然好几次找过人进行安全加强,但是都只是做了表面,对网站安全性没有任何的提高!SQL注入的一个很的工具是Domain3.5,用他可以避免大量的手工注入。
.SQL注入,此法对于对输入字符串过滤不严的网站有效,我们学校的XXX讲坛在这个方面做得极差,虽然好几次找过人进行安全加强,但是都只是做了表面,对网站安全性没有任何的提高!SQL注入的一个很的工具是Domain3.5,用他可以避免大量的手工注入。
由图可以看出,管理员表、管理员账号、密码(已加密)都已经猜出来了!
C
.其他,IIS本身出现的漏洞,这些漏洞持续时间不长,安装完补丁后可以解决。
.其他,IIS本身出现的漏洞,这些漏洞持续时间不长,安装完补丁后可以解决。
2
上述漏洞利用的原理
上述漏洞利用的原理
A
.通过将“/”改成“%5c”,把目录向左提高了一级,导致相对路找不到对应的文件,IIS报错。
.通过将“/”改成“%5c”,把目录向左提高了一级,导致相对路找不到对应的文件,IIS报错。
B
.因为一些参数直接被放到SQL语句中执行,导致访客可以通过外部担交恶意代码来操作数据库,进而猜解出数据库的重要信息(如帐号、密码等)。
.因为一些参数直接被放到SQL语句中执行,导致访客可以通过外部担交恶意代码来操作数据库,进而猜解出数据库的重要信息(如帐号、密码等)。
C
.利用系统本身漏洞(如溢出漏洞)来攻击IIS服务器,此漏洞严重性很大,主要是通过关注微软发布的更新补丁来获得漏洞的。
.利用系统本身漏洞(如溢出漏洞)来攻击IIS服务器,此漏洞严重性很大,主要是通过关注微软发布的更新补丁来获得漏洞的。
3
.
上述漏洞的预防
.
上述漏洞的预防
A
.这个漏洞是通过IIS报错来看到错误信息的,所以可以把错误信息关掉,方法:IIS上右击网站->属性 ->主目录->配置->调试->选中向课户端发送文本错误信息。另外,这是通过下载数据库来实现的,所以可以在服务器端给. mdb文件一个解释文件,从而禁止mdb数据库的下载,方法:IIS上右击网站->属性->主目录->映射->应用程序设置,然 后添加一个mdb,随便找个文件给它解释。如果你是网站程序员则也有三个办法:用绝对路径、不用二级目录、给数据库做防下载处理。
.这个漏洞是通过IIS报错来看到错误信息的,所以可以把错误信息关掉,方法:IIS上右击网站->属性 ->主目录->配置->调试->选中向课户端发送文本错误信息。另外,这是通过下载数据库来实现的,所以可以在服务器端给. mdb文件一个解释文件,从而禁止mdb数据库的下载,方法:IIS上右击网站->属性->主目录->映射->应用程序设置,然 后添加一个mdb,随便找个文件给它解释。如果你是网站程序员则也有三个办法:用绝对路径、不用二级目录、给数据库做防下载处理。
B
.同样这是利用IIS报错来实现注入的,可以将IIS报错关了,就拿它没办法了,要最终防止,还是要注意程序对 输入字符的过滤,如可以对 “’”, “and”, “or”, “update”, “insert”, “select”, “delete”, “=”等危险字符串进行过滤,甚至对于一些参数只使用数字而不能用字符串。
.同样这是利用IIS报错来实现注入的,可以将IIS报错关了,就拿它没办法了,要最终防止,还是要注意程序对 输入字符的过滤,如可以对 “’”, “and”, “or”, “update”, “insert”, “select”, “delete”, “=”等危险字符串进行过滤,甚至对于一些参数只使用数字而不能用字符串。
C.经常检测更新并升级系统,关注关于IIS漏洞的最新报道,推荐使用端星漏洞扫描工具或者365safe打补丁。这个方面程序员不能直到任何的作用。
4
.IIS其它方面的注意
.IIS其它方面的注意
以上只是IIS的一些最基本的安全设置,要配置好IIS还要掌握很多东西。如是否允许执行脚本、ISAPI限制、目录游览、日志记录、网站安全账号权限控制、网站程序池、自定义错误、虚拟目录建立等。这上面每一项都是一个学问。
5
.结束语
.结束语
网络安全问题日益突出,有些虚拟主机管理员不知是为了方便还是不熟悉配置,干脆就将所有的网站都放在同一个目录中,然后将上级目录设置为站点根 目录。有些呢,则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便,在服务器上挂起了QQ,也装上了BT。更有甚者,竟然把 Internet来宾帐号加入到Administrators组中!普通的用户将自己的密码设置为生日之类的6位纯数字,这种情况还可以原谅,毕竟他们大 部分都不是专门搞网络研究的,中国国民的安全意识提高还需要一段时间嘛,但如果是网络管理员也这样,那就怎么也有点让人想不通了。IIS的安全是一个不断 变化的问题,只有相对的安全,没有绝对的安全。伴随着漏洞的不断出现和补丁的出现,IIS也在经受着考验。作为一个服务器管理人员,应该定期地观察IIS 的运行状态和网站访问日志,更要时刻关注安全网上的漏洞公告。作为网站维护人员,更要负责自己网站的代码问题,及时给存在漏洞的系统打上补丁。只有服务器 和网站都做好了安全防范,才能保证服务器和网站的正常运转。另外:安全意识是一个服务器管理员和程序员最基本的素质,只有稳定的环境和安全的代码才能让别 人放心。
参 考 文 献
[1] 打造坚不可摧的虚拟主机。http://me.flashlm.com/html_data/article/ art-88.shtml.
[2] IIS攻击大全。 http://www.ecjtu.org/forum/htm_data/12/0511/1616.html.
[3] 保证IIS自身的安全性。http://www.ecjtu.org/forum/htm_data/13/0511/1060.html.
[4] 快速学习、理解.SQL注入技术http://www.ecjtu.org/forum/htm_data/12/0509/43.html.
[5] SQL注入和%5c暴库漏洞应用。 http://www.ecjtu.org/forum/read.php?tid-6625.html
[6] IIS6常见问题解答。http://me.flashlm.com/html_data/article/art-44.shtml
The ATTARCT and DEFNSE of the IIS SERVER
(School of Information Engineering, East China Jiaotong University, Nanchang China,330013)
[Abstract] The paper introduces the way and the principle of attracting the Microsoft IIS Server and the security request of the server system. To keep a server system in good state, the Operating System Administrator and the Programmer both need to pay attention to the Security of Network and Latest News about IIS.
[Key words] IIS;SERVER ATTRACT;SERVER DEFENSE
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/179240.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...