资安这条路 26- [Web 服务器软件] IIS (Internet Information Services)
- Internet Information Services
- IIS
- 微软提供的 Web 服务器软件
- 以 Windows 10 IIS 为例子
-
-
身份验证功能
-
站台 > Default Web Site
-
- 预设:匿名验证 (Anonymous Authentication)
- 匿名验证:不需要输入任何帐号密码
- 启用之後不会启动其他身分验证
- 其他还有验证方式
- 基本验证
- Windows 验证
- Digest Authentication 摘要验证
- 表单验证 (Form Authentication)
- Universal Naming Convention (UNC) Authentication
- Client Certificate Mapping Authentication
-
-
针对目录的访问
- 右键 > 编辑权限 > 安全性
-
- 可以看到各群组跟使用者分别的权限
-
应用程序集区
-
- 建议针对每个单一网站,独立设定应用程序集区
-
- 可以为了 32 位元网站,启用 32 位元应用程序集区
-
-
-
浏览目录
-
- 预设为关闭
- 若打开可能有目录遍历的问题
-
-
关闭上传目录的执行权限
- 进入资料夹 > 处理常式对应 > 编辑功能权限
-
-
- 将指令码的选项取消勾选
-
开启日志纪录
- 首页 > 点选纪录
-
-
- 纪录 Log 请做好备份
-
IIS 漏洞
- WebDAV
- IIS 6.0
- WebDAV 开启
- Guest 帐号有写入的权限
- 可造成任意文件上传
- 可以使用
IIS PUT SCANNER查看是否有写入权限
- WebDAV
资料来源
- http://dog0416.blogspot.com/2019/04/iis-iis-authentication-type-iis.html
- https://www.aqniu.com/learn/43996.html
- https://www.ithome.com.tw/news/113166
- https://www.ithome.com/html/win10/229373.htm
<<: Day 26 Quantum Protocols and Quantum Algorithms
>>: [Day 26]-【STM32系列】UART/USART TX 资料传送篇(上)
DAY 24- 凭证实察 Certificate
「给你一个凭证,证明你是一个工具人。」 今天是一个户外教学。 我们要来去网站上实际把证书抓出来看看。...
[Slack] 利用 Incoming Webhooks 发送讯息至指定频道(channel)
关於Incoming Webhooks Slack是现在蛮流行的办公用通讯软件,其中有许多appli...
[Day-13] 条件运算子以及switch小练习
这次就要来练习上次学习的switch 这边我想了个题目来练习 那现在就开始练习程序码吧! 题目:利用...
[开发经验分享]如何中断执行中的 Task(任务)
情境 在做大数据分析时,由於需要从几千万甚至几亿笔资料中做运算,应用程序就整个不能动,若中间机器有要...
Angular#5 专案:路由 登入系统>>首页
Angular [目标] 进入系统>>登入>>首页 1. VSCode 撰写...