iis 服务器修复,Windows Server中的IIS漏洞以及修复方法
我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统。世界上有很多网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows的漏洞,而这一切都是本来可以避免的。
你可能无法触及应用层面的漏洞,但是在服务器层面你有很多事情可以做到使基于IIS的系统更加安全。通过回顾我多年的网站安全评估项目,可以指出以下最影响Windows服务器的IIS漏洞。
未处理异常(HTTP 500 错误)的产生
这会泄露敏感的配置信息和促进SQL注入攻击。在服务器方面的解决方法是在以下服务器的web.conf文件中取消详细的错误信息。
视图状态加密和MAC被禁用
这会导致攻击者篡改敏感参数从而获得非授权访问。在服务器方面的解决方法是在以下服务器的web.conf文件中对所有的应用页面启用视图状态哈希和MAC。
非加密的HTTP连接被允许
这会导致登录信息和其他敏感信息的暴露,因为任何与Web服务器来往的信息都会以明文方式传输。在服务器方面的解决方法是使其需要TLS版本1.1以及对整个网页/应用都进行加密。
SSL版本2和3以及弱加密算法被启用
这可以促进中间人攻击以及导致敏感信息泄露。服务器端解决的方法是使其需要TLS版本1.1和取消弱密码算法例如RC4。
跨框架脚本成为可能
这可以促进点击挟持和误导用户点击一些不同于他们认为正在点击的内容。服务器端的解决方法是根据你的具体需求设置X-Frame-Options头部为DENY,SAMEORIGIN 或 ALLOW-FROM。
敏感的服务器目录和文件是公众可以访问的
这可以暴露系统配置信息,代码和敏感信息。服务器的解决方法对于公众用户只开放必要的权限。
没有打Windows补丁
这可能导致任何攻击,小至拒绝服务攻击,大至使用例如Metasploit工具得到Web服务器的完整远程权限。服务器方面的解决方法是给你的服务器打补丁,这个操作很简单。即使你打算将来这个服务器需要从生产环境中下线,你也需要始终全盘的为服务器打补丁,这样才能打造一个安全的Web环境。
大多数的漏洞可能不会被认为是“关键的”,但是它们一定是长期会有问题的。如你所见,他们解决起来是相对简单的。事实上,解决他们唯一的消耗只是你的时间而已。找到并且解决这些问题,业务的安全会取得成功,并且会有助于漏洞扫描和安全评估报告看上去很干净。
一旦你处理完网页服务器基本面的安全之后,你可以为你的Web应用向更大——一般也更复杂——的安全缺陷考虑。这包括了跨站脚本(一种最常见的漏洞)、SQL注入(一种没那么常见但很致命的漏洞)、弱用户认证和会话管理。到了这里,才是乐趣的真正开始。
iis 服务器修复,Windows Server中的IIS漏洞以及修复方法相关推荐
- windows故障转移群集 文件服务器,为服务器故障转移群集中的 IIS Windows FTP - Windows Server | Microsoft Docs...
如何在服务器故障转移群集中为 IIS Windows FTP 09/08/2020 本文内容 本文介绍如何为 Internet Information Services (服务器故障转移群集) IIS ...
- 通过安装和配置AD域解决Windows Server 2016的IIS无法加载SMB文件卷文件的问题
通过安装和配置AD域解决Windows Server 2016的IIS无法加载SMB文件卷文件的问题 1. 问题描述 通过客户反馈我们发现Windows Server 2016的IIS无法加载SMB文 ...
- Windows server 2003怎么安装iis?Windows server 2003安装IIS教程
Windows 2008系统服务器安装IIS之前已经分享过了,和Windows 2003完全不同,今天飞飞将详细地和你分享Windows server 2003卸载和安装IIS的步骤方法,希望可以帮助 ...
- 新版Windows Server 2019的IIS配置websocket
本文将向您阐述一个简单而快速的在Windows Server 2019中使用Powershell安装和启动IIS的方法,本方法也适用于Windows Server 2012.Windows Serve ...
- 如何在 Windows Server 中配置权威时间服务器
如何在 Windows Server 中配置权威时间服务器 查看本文应用于的产品 本页 · 简介 o 配置 Windows 时间服务以使用内部硬件时钟 § 帮我修复此问题 § 我 ...
- windows怎样运行wmi服务器,文件服务器资源管理器无法加载 Windows Server 中的 WMI 对象...
文件服务器资源管理器无法加载 Windows Server 中的 WMI 对象 05/12/2021 本文内容 本文可帮助修复在 Windows Server 中启动文件服务器资源管理器时发生的错误. ...
- 微软服务器分发,从 IIS 服务器分发 Windows 10 应用
从 IIS 服务器分发 Windows 10 应用 04/23/2021 本文内容 本教程演示如何设置 IIS 服务器.验证 Web 应用能否托管应用包,以及如何有效地调用应用安装程序应用程序. 通过 ...
- Windows Server中的 WINS 服务器远程内存损坏漏洞分析
本文讲的是Windows Server中的 WINS 服务器远程内存损坏漏洞分析, 漏洞概要 在2016年12月,FortiGuard Labs发现并报告了Microsoft Windows Serv ...
- windows组件中没有IIS解决方法
今天安装iis时发现windows组件中没有internet信息服务,在网上找了很多资料,说是系统是精简版的,没有IIS服务.网上提供了很多解决方案,但都是要手动的修改东西或是到注册表修改文件,总之很 ...
最新文章
- php把1拆分成三份,【php】位运算如何拆分
- php 获取相反值,php – 以相反的顺序从单向数组中获取数据
- 采集练习(五) php 获得chrome扩展 微度新标签页 下的云壁纸(主要是美女壁纸)
- matlab三维矩阵_Matlab绘制三维表面模型说明
- 统计数字liuseroj.picp.io
- c++个人银行账户管理3
- 悟--心智成熟的旅程
- html5 橡皮擦效果,javascript – HTML5 Canvas:globalCompositeOperation(橡皮擦)
- androidx86编译踩坑
- 爱快虚拟机安装Windows
- 收款神器!解读聚合收款码背后的原理
- 《人工智能》课程习题
- 安卓开发就等同于Java编程么?不懂的进来看看吧
- PS给照片添加镜头梦幻光斑动态图片效果
- oracle导出表为excel文件路径,Oracle导出数据为excel或文本文件
- 跨平台Brave浏览器(一百零三)
- 自动连击左键,F键和自动按住W键工具
- DistilBERT, a distilled version of BERT: smaller, faster, cheaper and lighter学习
- Flink系列-背压(反压)
- Swift如何兼顾协议中默认和自定义方法的调用?