IIS安装并验证IIS6或7的漏洞及修补

简介

IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。

一、安装IIS服务(演示:windows sever 2003)

1、IIS安装并验证IIS6或7的漏洞及修补_第1张图片
2、IIS安装并验证IIS6或7的漏洞及修补_第2张图片
3、
IIS安装并验证IIS6或7的漏洞及修补_第3张图片
4、
IIS安装并验证IIS6或7的漏洞及修补_第4张图片
5、
IIS安装并验证IIS6或7的漏洞及修补_第5张图片
6、进入http://localhost 显示建设中/显示目录则开启iis成功
IIS安装并验证IIS6或7的漏洞及修补_第6张图片

三、放置网站

默认目录C/inetput/wwwroot/
IIS安装并验证IIS6或7的漏洞及修补_第7张图片

四、配置IIS

1、
IIS安装并验证IIS6或7的漏洞及修补_第8张图片
2、
IIS安装并验证IIS6或7的漏洞及修补_第9张图片
3、
IIS安装并验证IIS6或7的漏洞及修补_第10张图片
4、
IIS安装并验证IIS6或7的漏洞及修补_第11张图片
5、
IIS安装并验证IIS6或7的漏洞及修补_第12张图片
7、访问网站,若出现401.5- 未经授权:ISAPI/CGI 应用程序授权失败。

解决办法:网站的虚拟目录权限上加上everyone 的读取权限就解决了!没有效果点高级>勾选继承父级和下面的选项

8、访问网站:
IIS安装并验证IIS6或7的漏洞及修补_第13张图片

五、IIS 6.x漏洞

1、基于文件名该版本默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是服务器默认不解析; 号及其后面的内容,相当于截断。
IIS安装并验证IIS6或7的漏洞及修补_第14张图片
2、基于文件夹名该版本默认会将 *.asp/目录下的所有文件当成Asp解析。
IIS安装并验证IIS6或7的漏洞及修补_第15张图片
3、除了以上之外,还默认会将扩展名为.asa,.cdx,.cer解析为asp

解决办法:

  1. 限制上传目录执行权限,不允许执行脚本。
  2. 不允许新建目录。
  3. 上传的文件需经过重命名(时间戳+随机数+.jpg等)

六、IIS 7.x漏洞

版本在Fast-CGI运行模式下,在任意文件,例:test.jpg后面加上/.php,会将test.jpg 解析为php文件。
IIS安装并验证IIS6或7的漏洞及修补_第16张图片

解决办法:

配置cgi.fix_pathinfo(php.ini中)为0并重启php-cgi程序
IIS安装并验证IIS6或7的漏洞及修补_第17张图片

你可能感兴趣的:(web安全防护,中间件,iis,中间件)