版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、WEB327怎样使 IIS更安全,胡 雪高级顾问 美国微软公司 顾问咨询部 Microsoft Corporation,日程,出名的病毒:Code Red (I ) ( / Do stuff else Response.write(Access Denied); function isPasswordOK(strName, strPwd) var fAllowLogon = false; var oConn = new ActiveXObject(ADODB.Connection); var strConnection=Data Source=c:authauth.mdb; oConn.Ope
2、n(strConnection); var strSQL = SELECT count(*) FROM client WHERE + name= + strName + + and pwd= + strPwd + ; var oRS = new ActiveXObject(ADODB.RecordSet); oRS.Open(strSQL,oConn); fAllowLogon = (oRS(0).Value 0) ? true : false; oRS.Close(); delete oRS; oConn.Close(); delete oConn; return fAllowLogon;,
3、危险在哪,好人 Username: jeff Password: &y-)4Hi=Qw8 SELECT count(*) FROM client WHERE name=jeff and pwd=&y-)4Hi=Qw8,坏人 Password: or 1 = 1,SELECT count(*) FROM client WHERE name=jeff and pwd= or 1=1,Unicode attack,IIS 检查 . 防止进入父目录。但IIS 5 Gold 没检查 UTF-8 的 或 /. 例如 %c0%af,http:/localhost/scripts/.%c0%af./winnt
4、/system32/cmd.exe?/c+type%20d:boot.ini,http:/localhost/scripts/.%c0%af./winnt/system32/cmd.exe?/c+copy%20d:winntsystem32cmd.exe root.exe,http:/localhost/scripts/root.exe?/c+echo Your Website is Defaced d:inetpubwwwrootdefault.asp,对策,Tell the attacker nothing! Determine what is valid input Beware of
5、quotes Check SQL return values Disable parent paths,如果您不幸被黑,Have a “Incident Response Plan” Remove machines from the net Find out how the hacker did it Perform low-level format Examine connected computers,IIS 4.0 and 5.0 新安全工具,Security hotfixes New: Cumulative Security Hotfixes New: No reboot hotfix
6、es New: Windows Update Integration New: One-Button-Lockdown-Tool New: Lockdown ISAPI Filter New: HFCHECK v2.0,IIS 6.0安全防范措施,Server is locked down by default Only static files Secure defaults Content protection Secure timeouts and limits Code Security Buffer Overflow Checks automated in the Windows b
7、uild environment VC+ compiler supported (/Gs) Isolation through a new process model Worker Processes run as a low privileged by default Lets get real: WindowsDotNetT Always secure with AutoUpdate,工具和检查清单, IIS5 Security Checklist HiSecWeb Template HFCheck IIS Lockdown Tool IISlockd.exe Using IPSec: http:/ “Designing Secure Web-based Applications” http:/,总结,Windows 2000 and Windows.NET are robust platforms that can provide security against real-world attacks provide the tools and features needed to mak
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 【四下数学】四年级下册数学《1-8单元重点课贴(含四则运费、小数的意义、三角形圆形等)》
- 吲哚废气处理系统安装调试施工方案及技术措施
- 2026年初级人工智能训练师(五级)资格理论考试题库(含答案)
- 2026年度零售定点药店医保培训考核试题及答案
- 城市窨井盖缺失应急预案演练脚本
- 企业员工心理测评结果保密检查报告
- 农业实验自然灾害应急与补试方案手册
- 学校踩踏事件志愿者行动规范手册(标准版)
- 《餐饮业顾客服务奖惩管理手册》
- 2025-2026学年空间设计说明围绕教学
- 2026年江西高考历史试卷及答案
- 教育评价改革学生发展论文
- 2026四川自贡市沿滩区就业创业促进中心招聘高校毕业生公共服务岗7人参考题库含答案详解(培优)
- 九年级语文(深圳专用)上学期期末真题汇编-散文阅读练习题(含答案)
- 幽门螺杆菌感染双联方案专家共识解读总结2026
- 2026年广东省高三一模英语试题及答案
- 2025-2026年护士执业资格考试试题及答案解析(完整版)
- 2026年珲春市事业单位公开招聘工作人员和基层治理专干(含专项招聘高校毕业生)(180人)笔试参考试题及答案详解
- 重庆师范大学《英语读写2》2026-2027学年第一学期期末试卷含解析
- 六升七 英语综合能力提升课|备战初中入学考试
- 2026中国质子治疗系统引进成本与本土化生产可行性报告
评论
0/150
提交评论