科技创新IIS信息服务常见漏洞及安全策略
朱伟网站搭建策略与方法
(陕西理工学院计算机科学与技术系陕西汉中723000)
摘要:不管是个人或者是网站搭建的Internet IIS信息服务,总为IIS层出不穷的漏洞苦恼;本文介绍了IIS信息服务常见漏洞表现,并给出了基于个人或网站的安全策略。
关键词:IIS信息服务;常见漏洞;安全策略
由于宽带越来越普及,给自己的Win2000/XP装上简单易学的IIS,搭建一个不定时开放的ftp或是web站点,相信是不少电脑爱好者所向往的,而且应该也已经有很多人这样做了。但是IIS层出不穷的漏洞实在令人担心,远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击。许多网站因为多种因素的制约采用了相对简单易用的NT(Windows NT/2000/2003)+IIS(Internet Information Server)的架构,由于各站点的技术力量和管理水平存在较大差距,因此网站的安全性也参差不齐,只有少数的IIS网站具有较高安全性。
1.II S信息服务常见漏洞
①Unicode漏洞。Unicode安全问题存在于许多系统中,当IIS对含有Unicode的字符进行解码时,如果遇到特定编码,将导致错误或非法操作。②应用程序映射问题。在IIS的许多应用程序映射中存在着相当严重的安全问题,如源代码泄露、缓冲区溢出、DOS拒绝服务、非法执行脚本等基本上都是由此而引发的。③ISAPI缓冲溢出漏洞。④IIS RDS(远程数据服务)漏洞。⑤HTTP非标准数据问题。攻击者发送大量的特殊畸形的HTTP请求头数据包,可导致服务器消耗系统的所有内存,只有服务终止或主机重启,IIS才能恢复正常。⑥IIS验证漏洞。这可导致泄露系统信息及帐号被远程暴力破解。⑦设备文件问题和系统设计错误。⑧应用程序问题。网站的应用程序承担和实现了具体的网络服务和功能,但由于编程水平不一,因而应用程序安全性差别很大,这也极易造成对IIS的攻击。⑨有很多安全缺口归因于Microsoft在IIS 中所提供的功能。如果适切的注意到这些属性,它们将允许客制化(customization)的运用,在执行上更具弹性。但是当它们被忽略、误解或不正确的使用时,它们就会成为受攻击的弱点。⑩主观人为因素。指网站的设计者、管理者和使用者的意识、素质、道德、责任心、技术等主观方面对此的影响。
2.I IS信息服务的安全策略
2.1个人IIS信息服务的一般安全设置
在入侵者突破了防火墙的情况下配置IPSec策略;通过限制来隔绝那些可以存取Telnet服务器的用户以
达到保护服务器的目的;为服务器的虚拟目录设置适当的存取控制;进行日志记录,并在日志文件(log files)中设置适当的权限;如果合适的话,为IP地址和DNS地址做权限;更新网络服务器上的Root CA证书;移除IIS中所有的示范应用程序;移除所有不必要的COM组件,例如File System Object;从IIS4.0升级以后,移除IISADMPWD虚拟目录;移除无用的应用程序对应(script mappings),例如IDC或HTR;在ASP程序代码中检查窗体输入,以防止恶意输入;在IIS 5.0中禁用Parent Paths选项;禁用Content-Location文件的表头信息,以免泄露地址。
从Microsoft的IIS5.0安全性检查清单开始吧!它收录了许多简单易懂的步骤,帮助保护Windows2000/XP系列的网站服务器免受绝大多数的攻击。
2.2网站IIS信息服务的一般安全策略
网站在以Windows NT(包括Windows NT4.0,Windows 2000Server系列,windows Server2003)为操作系统的服务器上通过IIS为客户的请求提供服务。维护IIS信息安全的方法包括公共网关接口(Common Gateway Interface,CGI),Internet 服务应用编程接口(Internet Server API,ISAPI)的过滤器(Filter)程序和安全套接字(Security Socket Layer,SSL)等。CGI是最常用的方法,可以实现基于IIS的信息存储和传输的安全,用CGI编制的程序由IIS调用,但运行在自己的进程内,所以其运行的速度较慢。ISAPI Filter主要实现信息存储的安全,是以动态链接库的形式封装,直接运行在IIS进
程内,运行速度较快。SSL可以用于信息传输的安全,直接集成在IIS中。将ISAPI Filter和SSL结合即可达到信息存储和传输的安全,本文介绍通过这种方法实现基于IIS的信息安全。
①ISAPI Filter的作用机制
ISAPI是微软提供的基于Windows NT(包括Windows NT4.0,Windows2000Server系列,windows Server2003)的Internet编程接口,利用ISAPI编制的应用程序以动态链接库的形式封装,直接运行在IIS进程中。ISAPI实现的应用程序包括扩展和过滤器两种形式,ISAPI扩展可以响应客户的请求,执行特殊的功能,而过滤器可以实现数据压缩、重定向、加密和身份验证等功能。ISAPI过滤器运行在IIS的前端,可以处理IIS提供的每一步服务。过滤器在IIS进程启动时装载,并运行G F V函数,G F V函数的目的是设置
119 et ilter ison et ilter ison

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。