我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统。世界上有很多网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows的漏洞,而这一切都是本来可以避免的。

你可能无法触及应用层面的漏洞,但是在服务器层面你有很多事情可以做到使基于IIS的系统更加安全。通过回顾我多年的网站安全评估项目,可以指出以下最影响Windows服务器的IIS漏洞。

未处理异常(HTTP 500 错误)的产生

这会泄露敏感的配置信息和促进SQL注入攻击。在服务器方面的解决方法是在以下服务器的web.conf文件中取消详细的错误信息。

<customErrors mode="RemoteOnly" defaultRedirect="AppErrors.aspx">

<error statusCode="404" redirect="NoSuchPage.aspx"/>

<error statusCode="403" redirect="NoAccessAllowed.aspx"/>

<error statusCode="500" redirect="RequestNotAllowed.aspx"/>

</customErrors>

视图状态加密和MAC被禁用

这会导致攻击者篡改敏感参数从而获得非授权访问。在服务器方面的解决方法是在以下服务器的web.conf文件中对所有的应用页面启用视图状态哈希和MAC。

<system.web>

<pages viewStateEncryptionMode="Always">

<pages enableViewStateMac="true"/>

<machineKey validation="3DES"/>

</system.web>

非加密的HTTP连接被允许

这会导致登录信息和其他敏感信息的暴露,因为任何与Web服务器来往的信息都会以明文方式传输。在服务器方面的解决方法是使其需要TLS版本1.1以及对整个网页/应用都进行加密。

SSL版本2和3以及弱加密算法被启用

这可以促进中间人攻击以及导致敏感信息泄露。服务器端解决的方法是使其需要TLS版本1.1和取消弱密码算法例如RC4。

跨框架脚本成为可能

这可以促进点击挟持和误导用户点击一些不同于他们认为正在点击的内容。服务器端的解决方法是根据你的具体需求设置X-Frame-Options头部为DENY,SAMEORIGIN 或 ALLOW-FROM。

敏感的服务器目录和文件是公众可以访问的

这可以暴露系统配置信息,代码和敏感信息。服务器的解决方法对于公众用户只开放必要的权限。

没有打Windows补丁

这可能导致任何攻击,小至拒绝服务攻击,大至使用例如Metasploit工具得到Web服务器的完整远程权限。服务器方面的解决方法是给你的服务器打补丁,这个操作很简单。即使你打算将来这个服务器需要从生产环境中下线,你也需要始终全盘的为服务器打补丁,这样才能打造一个安全的Web环境。

大多数的漏洞可能不会被认为是“关键的”,但是它们一定是长期会有问题的。如你所见,他们解决起来是相对简单的。事实上,解决他们唯一的消耗只是你的时间而已。找到并且解决这些问题,业务的安全会取得成功,并且会有助于漏洞扫描和安全评估报告看上去很干净。

一旦你处理完网页服务器基本面的安全之后,你可以为你的Web应用向更大——一般也更复杂——的安全缺陷考虑。这包括了跨站脚本(一种最常见的漏洞)、SQL注入(一种没那么常见但很致命的漏洞)、弱用户认证和会话管理。到了这里,才是乐趣的真正开始。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2022-05-31 16:36:40
大数据资讯 《Windows 7操作系统安全加固指引》发布 虚拟补丁技术被正式采纳收录
目前,亚信安全虚拟补丁已经被金融、医疗、制造、能源以及政府等行业广泛采纳,为全国上百万个端点提供着漏洞防护方案。 <详情>
2020-09-04 15:53:42
机房建设 41项测试一次过!宁畅八款服务器获Windows Server权威认证
近日,微软(Microsoft)官网更新服务器兼容目录,宁畅信息产业(北京)有限公司(以下简称“宁畅”)的八款服务器产品通过Windows Server 2019版本的操作系统权威认证。 <详情>
2020-07-21 15:37:20
云资讯 首个支持云上超级管理员权限,腾讯云数据库SQL Server基础版发布
7月20日,腾讯云数据库SQL Server基础版(单机)正式上线。云数据库SQL Server 基础版提供了正版授权、高可用、高安全、高性能及轻运维的全套数据库解决方案,且兼具超高性 <详情>
2017-11-24 10:40:22
云技术 微软发布预览版SQL Server跨平台开发工具
微软发布了预览版跨平台数据库开发工具SQL Operations Studio(SqlOps)。该工具是Visual Studio Code的一个分支,可以运行在Windows、MacOS和Linux上。因为SQL Server 201 <详情>
2017-10-09 09:46:20
云资讯 红帽宣布支持Azure、.Net Core 2.0和SQL Server 2017
近期,微软和红帽宣布支持在Red Hat OpenShift上运行Windows容器。此次宣布所针对的主要场景,是让Linux和Windows容器工作于同一集群中。这将使具有混杂环境的企业无需分别 <详情>