FSO 安全隐患解决办法

  FSO安全解决办法正文内容:

  1、本文设置方法与环境:实用于Microsoft WinNT/2000 Server /Advanced Server   IIS5.0 

  2、确保IIS及各虚拟主机网站均正常运行,并且删除了IIS中诸如.printer.dav之类不安全的应用程序扩展的映射(其它话题不在本文的讨论范围之类, 如果需要了解更多可见本人的另一篇《Microsoft Win 2000 IIS WEB服务器整体安全解决方案详解》) 

  3、依次开启----->开始------>程序----->管理工具------>计算机管理----->本地用户与组,然后新建一些用户(假设为:IUSR_0001到IUSR_0050,您的WEB SERVER上有50个虚拟主机的话,如果更多可以再新增一些用户。目是就是采用不同的匿名用户访问机制,以保证您的服务器既可以完整的使用ASP 的FSO组件功能,又不会受到诸如ASP木马的威胁)。这里可以按自己适当的安全级别及实际要求决定是否设置密码,其实为空也无大碍。 

  4、将刚才新建好的IUSR_0001至IUSR_0050去除User组的权限,统一将他们加到Guests组内。(因为Microsoft Windows默认新用户自动为Users组内, 这里一定注意不要忘了将IUSR_xxxx赶出Users组哟^_^)。如果为更好的安全着想,可再新增一个IIS_USERS组,同时将IUSR_XXXX全部加入这个组内,以便于在做其它系统安全设置时方便用到。 

  5、设置IIS|依次开启----->开始------>程序----->管理工具------>Internet 服务管理器----->打开IIS管理界面,然后将打开你的第一个虚拟主机的站点属性,在出来的IIS对话界面中,点击“目录安全性”在“身份验证和访问控制”部分点击“编辑”,然后在出现的“验证方法”界面的“匿名访问”部分再点击“编辑”,将会出现匿名用户帐号的界面,这时候你选择“浏览”然后把选择在3步中新建的第一个Guests来宾用户,即选中“IUSR_0001”,如果你新建用户是密码为空者为空,不为空者输入此用户的密码即可。然后再选中下面的“允许IIS控制密码”,接着点击确定。 

  [另外注意:为了方便管理及后面设置目录权限,网站描述最好和IUSR_XXXX进行对号,比如你上面的操作是对网站描述为Fineacer.com的网站,那么您可以将网站描述换成:Fineacer.com(IUSR_0001)。这样一目了然,更加方便管理。  

  6、磁盘权限:确保已经做好了C、D、E、F之类的磁盘的ACLs权限。(即将所有盘的Everyone"完全控制"权必须去掉,这个非常危险,只给其所必需的就成) 同时设置您的网站虚拟目录的相应权限,即NTFS中的ACLs访问权限。选择到你网站所在的虚拟主机总目录,将Everyone,访问权限去掉。只加Administrators -完全控制、System-完全控制.(System是用于Serv-U之类FTP上传下载所需用的权限,因为Serv-U是以System的身份启动服务的)。然后再选择你的IUSR_0001 假设这里是Fineacer.com(IUSR_0001)网站的根目录。再后再右键---->属性------>安全,添加我们的IUSR_0001,并赋予读取权限,如果是单HTML只给读 取权限即可,如果是ASP+ACESS数据库类似的,同时还需要加上"写入"权限。如果网站的ASP程序需要利用FSO进行网站内容的在线修改、删除等操作的话,那么一般我们将“完全控制”权给IUSR_XXXX。 

  7、好了,第一个虚拟主机设置终于搞定^_^,我们放一个Webshell在网站目录内,然后再浏览http://www.fineacer.com/webshell.asp 嘿嘿,试试,再用FSO 功能访问其它网站目录是不是就访问不了了,更不用说编辑与删除其它虚拟主机用户的网页文件了:)剩下来的工作就是重复步骤3、4、5、6、将所有站点都进行设置。具本人所知,部份虚拟主机管理系统就是利用这个原理,来进行的!只不过将这些步骤都写到了虚拟主机的管理系统程序中罢了.

本文作者:李泊林/LeeBolin 资深系统工程师、专业网络安全顾问。 已成功为国内多家大中型企业,ISP服务商提供了完整的网络安全解决方案。尤其擅长于整体 网络安全方案的设计、大型网络工程的策划、以及提供完整的各种服务器系列安全整体解决方案。

(0)

相关推荐

  • FSO 安全隐患解决办法

    FSO安全解决办法正文内容: 1.本文设置方法与环境:实用于Microsoft WinNT/2000 Server /Advanced Server IIS5.0 2.确保IIS及各虚拟主机网站均正常运行,并且删除了IIS中诸如.printer.dav之类不安全的应用程序扩展的映射(其它话题不在本文的讨论范围之类, 如果需要了解更多可见本人的另一篇<Microsoft Win 2000 IIS WEB服务器整体安全解决方案详解>) 3.依次开启----->开始------>程序--

  • 您用户网站被黑的原因和解决办法

    您的用户网站被黑,有以下几种原因造成的: 1. 是您的客户的网站代码有问题,存在安全漏洞造成的. 如果您的服务器上大部分用户的网站都正常,只有少量用户网站被黑,那  么就很可能是您少量用户网站被黑的网站代码有问题,存在安全漏洞造  成的.造成这个问题是没有办法解决,也不是您的责任. 分析说明: 1). 大家都知道,"虚拟主机提供商"对自己的每个虚拟主机用户  都分配了FSO文件操作的权限,他们通过您分配的合法权限,可  以任意改动和上传的任何文件.如果您的用户没有保护好您分  配给他们

  • ASP:ActiveX不能创建Scripting.FileSystemObject对象解决办法

    今天遇到个问题,一个ASP网站生成静态页面时报错: Microsoft VBScript 运行时错误 错误 '800a01ad' ActiveX 部件不能创建对象: 'Scripting.FileSystemObject' 其实这个问题比较常见,报错原因是服务器不支持FSO组件.像风讯.科汛.动易这些ASP的主流CMS系统中经常会遇到这种情况,因为他们都是采取静态生成机制的,需要FSO组件支持.在开始之前,你有必要先用ASP探针测试下服务器对FSO组件的支持情况,通常我们使用的是Windows

  • 被恶意网站击中的解决办法——注册表使用全攻略之六

    被恶意网站击中的解决办法--注册表使用全攻略之六 一.注册表被修改的原因及解决办法 恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果. 1.IE默认连接首页被修改 IE浏览器上方的标题栏被改成"欢迎访问--网站"的样式,受到更改的注册表项目为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start PageHKEY_CURRENT_USER\Softwar

  • Android 出现问题Installation error: INSTALL_FAILED_CONFLICTING_PROVIDER解决办法

    Android 出现问题Installation error: INSTALL_FAILED_CONFLICTING_PROVIDER解决办法 最近做项目遇到 Installation error: INSTALL_FAILED_CONFLICTING_PROVIDER这个报错信息,不知该如何解决,百度一下,发现有朋友同样问题并解决,这里记录下,有兴趣的朋友可以看下, Installation error: INSTALL_FAILED_CONFLICTING_PROVIDER  [2014-0

  • PHP7 preg_replace 出错及解决办法

    问题描述: PHP7废弃了preg_replace? 原本是中php5中处理url中后面参数替换清除的,代码如下 $url = preg_replace('/([?&])src=[^&]+(&?)/e', '"$2"==""?"":"$1"', $url); 但是到php7中就报错了 需要用preg_replace_callback来替换,请问该咋办? 相关代码 $url = preg_replace(

  • SpringMail使用过程中的报错解决办法

    SpringMail使用过程中的报错解决办法 1.Unable to locate provider for protocol: smtp –>缺少依赖造成的 <dependency> <groupId>javax.mail</groupId> <artifactId>mail</artifactId> <version>1.4</version> </dependency> <dependency

  • Ext4.2的Ext.grid.plugin.RowExpander无法触发事件解决办法

    Ext4.2+ Ext.grid.plugin.RowExpander存在bug,添加的collapsebody,expandbody无法触发,查看了下 Ext.grid.plugin.RowExpander对应的源代码,没有添加collapsebody,expandbody事件,即使按照网上的方 法重写Ext.grid.plugin.RowExpander的init和toggleRow方法也无法触发 collapsebody,expandbody事件. 解决办法:给grid对象添加collap

  • 关于backbone url请求中参数带有中文存入数据库是乱码的快速解决办法

    最近项目用到了backbone 做前后端的分离方案,遇见了中文乱码问题,解决方案总结如下: 假设需要存一条课程记录到后台 model定义如下: var AddCourse= Backbone.Model.extend({ url:path+"/course/add", parse : function(response){ return response.data; } }); encodeURIComponent 函数 将中文的内容进行编码 $('#addCourseBtn' ).c

  • 后端接收不到AngularJs中$http.post发送的数据原因分析及解决办法

    1.问题: 后端接收不到AngularJs中$http.post发送的数据,总是显示为null 示例代码: $http.post(/admin/KeyValue/GetListByPage, { pageindex: 1, pagesize: 8 }) .success(function(){ alert("Mr靖"); }); 代码没有错,但是在后台却接收不到数据,这是为什么呢? 用火狐监控:参数是JSON格式 用谷歌监控:传参方式是request payload 可以发现传参方式是

随机推荐