网站首页  注册会员  本站免费电影 留言板  繁體中文

 

您现在的位置: 陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网页制作 >> 正文
 

|
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌i幋锝呅撻柛濠傛健閺屻劑寮村Δ鈧禍鎯ь渻閵堝簼绨婚柛鐔告綑閻g柉銇愰幒婵囨櫔闂佸憡渚楅崹浼村极閹间焦鈷掑〒姘e亾闁逞屽墰閸嬫盯鎳熼娑欐珷闁规鍠氱壕濂稿级閸稑濡兼繛鎼枟椤ㄣ儵鎮欑€涙ê纾冲Δ鐘靛仦鐢帡鍩為幋锕€閱囨繝闈涙搐閳ь剦鍨跺铏规嫚閸欏鏀銈庡亜椤︻垳鍙呭┑鈽嗗灣閸樠囧垂濠靛鐓欓柟瑙勫姦閸ゆ瑧绱掗悩鍙夎础闁瑰弶鎮傞幃褔宕煎┑鍛灁闂備浇妗ㄧ粈渚€宕幘顔艰摕闁靛ǹ鍎弨浠嬫煕閳╁厾顏勨枍閿濆棛绡€缁剧増锚婢ф彃鈹戦悙璇у伐妞ゎ偄绻掔槐鎺懳熺拠宸偓鎾绘⒑閸涘﹦鈽夐柨鏇樺劦瀹曟洟骞樼紒妯锋嫼闂佸憡绺块崕鍗炩枍韫囨稒鐓曢悗锝庝悍瀹搞儵鏌i敐鍥у幋妤犵偛娲、娑樜熺憴鍕綎闂傚倷绀佸﹢閬嶅磿閵堝鍨傞柤绋跨仛缂嶅洭鏌涢鐘插姕妞ゃ儱锕ラ妵鍕箛閳轰胶浠炬繝銏f硾鐎氫即寮婚悢鍓叉Ч閹兼番鍨瑰▓宀勬⒑鐎圭姵顥夋い锕€鐏氶幈銊╁焵椤掑嫭鐓冮柍杞扮閺嗙偤鏌e┑鍥р枙婵﹦绮幏鍛存惞楠炲簱鍋撴繝鍥ㄧ厱闁规儳顕粻鐐烘煙椤旀儳鍘村┑锛勫厴閸┾剝鎷呴崫鍕疄闂佽楠搁崢婊堝磻閹剧粯鐓曢柡鍥ュ妼閸樻挳鏌熼柨瀣仢婵﹤顭峰畷鎺戭潩閸楃儐鏉哥紓鍌欑椤戝棛鏁敓鐘叉瀬鐎广儱顦猾宥夋煕椤愩倕鏋旈柛妯兼暬濮婃椽宕ㄦ繝鍌滀户闂佺ǹ锕ラ悧婊堝焵椤掍胶鍟查柟鍑ゆ嫹
|
缂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌i幋锝呅撻柛銈呭閺屾盯顢曢敐鍡欘槰闂佽鍨抽崑銈夌嵁閺嶎灔搴敆閳ь剚淇婃總鍛婄厽妞ゆ挾鍣ュ▓婊勵殽閻愬澧懣鎰亜閹哄棗浜炬繝寰枫倕浜圭紒杈ㄥ浮閸┾偓妞ゆ帒瀚壕鍏肩箾閹寸偞鐨戞い鏃€娲熷娲偡闁箑娈堕梺绋匡攻閸ㄧ敻锝炲┑鍫熷磯闁告繂瀚▓銈夋⒑閻熸澘鎮戦柣锝庝邯瀹曟繂顓兼径瀣簵闂婎偄娲︾粙鎾诲矗閹剧粯鐓曢柕澶樺枤娴滀粙鏌涢鐘插姎缁炬儳顭烽弻鐔煎箚瑜忛敍宥夋煛閸☆厾鐣甸柡灞剧洴婵$兘濮€閳╁啰褰囬柣搴ゎ潐閹搁娆㈠顒夋綎濠电姵鑹剧壕鍏肩箾閸℃ê鐒炬俊宸櫍濮婂搫效閸パ€鍋撻弴鐏绘椽濡舵径鍫氬亾閸涱喚闄勭紒瀣嚦閳哄懏鐓冮柛婵嗗閳ь剛枪閳绘捇骞嬮敂瑙f嫼闂佸憡鎸昏ぐ鍐╃濠靛洨绠鹃柛娆忣槺婢х數鈧娲栫紞濠傜暦閹烘鍊烽悗鐢登瑰鎶芥⒒娴h櫣甯涙繛鍙夌墵瀹曟劙宕烽娑樹壕婵ḿ鍋撶€氾拷
|
濠电姷鏁告慨鐑藉极閸涘﹥鍙忛柣鎴f閺嬩線鏌熼梻瀵割槮缁惧墽绮换娑㈠箣濞嗗繒浠鹃梺绋款儍閸婃繈寮婚弴鐔虹鐟滃秹骞婃惔銊ユ辈婵°倕鎳忛埛鎴犵磼鐎n厽纭堕柣蹇涗憾閺屾稓鈧綆鍋嗛妴鎺旂磼椤旇偐澧︾€规洘锕㈤、娆撴偩鐏炶棄绗氶梻鍌欑閹诧紕鎹㈤崒婧惧亾濮樼厧澧撮柛鈹惧亾濡炪倖甯婇悞锕傚磹閹邦喒鍋撶憴鍕缂侇喗鎹囬妴浣肝旈崨顓狀槹濡炪倖鍨兼慨銈団偓姘偢濮婃椽鎳¢妶鍛呫垺绻涘ù瀣珖濞存粎枪閳诲酣骞樺畷鍥舵П闂備線娼荤€靛矂宕㈤崜褍顥氬┑鍌氭啞閻撶姷鐥弶鍨埞濠⒀傚嵆閹粙顢涘☉姘モ偓鎺旂磼鏉堛劌娴€殿噮鍣e畷鎺戭潩椤撶姳閭梺璇叉唉椤煤閺嶎厼围闁告稑锕g换鍡涙煟閹达絾顥夐崬顖炴偡濠婂啰绠伴柣锝囧厴瀹曞ジ寮撮悢鍙夊濠电偠鎻紞鈧┑顔哄€楀☉鐢稿醇閺囩喓鍘遍梺鎸庣箓缁绘帡鎮鹃崹顐闁绘劘灏欑粻濠氭煛娴h宕岄柡浣规崌閺佹捇鏁撻敓锟�
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗銆掑锝呬壕濡ょ姷鍋為悧鐘汇€侀弴姘辩Т闂佹悶鍎洪崜姘舵倿閼测斁鍋撻獮鍨姎闁硅櫕鍔欓弫宥夋偄閸忓皷鎷洪梺闈╁瘜閸樺ジ銆傞崗鑲╃瘈闁靛繆妲勯懓璺ㄢ偓瑙勬礀缂嶅﹤鐣烽幒鎴旀闁哄稄濡囬惄搴ㄦ⒒娴e憡鎯堢紒澶嬬叀瀹曟繂鐣濋崟顒€鈧法鎲搁悧鍫濈瑲闁绘挻鐩幃妤呮晲鎼存繈鍋楅梺鍛婄懃鐎氫即寮婚敍鍕勃闁绘劦鍓涢ˇ顔剧磽娴e搫校缂佸甯為幑銏犫攽鐎n亞顦ㄩ梺闈涒康婵″洩銇愰幘顔解拻闁稿本鐟ㄩ崗宀勫几椤忓懌浜滈柟瀛樼箖椤ャ垺顨ラ悙鏉戝妤犵偞鐗楅幏鍛村传閵夈儱缁╂繝鐢靛О閸ㄧ厧鈻斿☉銏℃櫇闁挎洖鍊稿Ч鏌ユ煥閺囩偛鈧綊鎮¢弴銏$厪濠㈣泛鐗嗛悘顏呯箾閸涱厽顥炵紒缁樼洴瀹曞ジ鎮㈤幖鐐拌檸婵犳鍠栭敃銊モ枍閿濆绠柣妯款嚙缁犵敻鏌熼悜妯肩畵濠碉紕鍏樺缁樻媴閾忕懓绗″┑鈽嗗亜缁绘ê鐣峰⿰鍫熷亜闁兼祴鏅涚粊锕傛椤愩垺澶勭紒瀣浮瀵煡骞栨担鍦弳闂佺粯娲栭崐鍦偓姘炬嫹
|
缂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顕€姊哄Ч鍥р偓銈夊窗濡ゅ懎桅闁告洦鍨伴崘鈧銈嗗姦濠⑩偓缂侇喖鐖煎娲箹閻愭彃顬堥梺绋匡工濞尖€愁嚕鐠囨祴妲堥柕蹇婂墲濞呭棝鏌i悩鍙夊鐟滄澘鍟扮划鏄忋亹閹烘挴鎷洪梺纭呭亹閸嬫稒淇婇悾宀€纾奸悹鍥皺婢э妇鈧鍠栭…閿嬩繆閸洖鐐婇柍鍝勫暟閸橆垶姊洪懡銈呅eù婊€绮欏畷婵堚偓锝庡墮閸ㄦ繈鏌i姀鐘冲暈闁抽攱鍨圭槐鎺斺偓锝庡亜椤曟粓鏌熼惂鍝ョМ闁哄本鐩幃鈺佺暦閸パ€鎷伴柣搴㈩問閸犳牠鈥﹂悜钘夋瀬闁瑰墽绮崑鎰版煠绾板崬澧绘俊韫嵆濮婄粯绗熼埀顒€岣胯閻忔瑩姊虹粙鍨槰闁革綇绲介悾鐑藉箣閿曗偓缁犵粯顨ラ悙灞備粧婵顨婂娲捶椤撶偛濡洪梺鎼炲姀閸╂牕岣胯箛娑橀唶闁靛鑵归幏娲煟閻樺厖鑸柛鏂胯嫰閳诲秹骞囬悧鍫㈠幍闂佸憡鍨崐鏍偓姘炬嫹
|
IT闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾剧懓顪冪€n亝鎹i柣顓炴閵嗘帒顫濋敐鍛婵°倗濮烽崑鐐烘偋閻樻眹鈧線寮撮姀鈩冩珖闂侀€炲苯澧板瑙勬礉閵囨劙骞掗幘璺哄箺闂備胶顢婇幓顏嗗緤妤e叝澶嬪緞瀹€鈧Λ顖涖亜閹惧鈽夊ù婊堢畺濮婂宕掑▎鎴М闂佺顕滅换婵嗙暦濠靛鍗抽柣鎰Ф閸犳劗鎹㈠┑瀣<婵☆垰鍢叉禍楣冩煙閻戞ɑ灏电紒鈾€鍋撴繝娈垮枟閿曗晠宕㈡ィ鍐ㄧ煑闁糕剝绋掗埛鎴犵磽娴h偂鎴犵矆閳ь剟姊虹粙鍖″伐婵犫偓闁秴鐒垫い鎺嶈兌閸熸煡鏌熼崙銈嗗
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾瑰瀣捣閻棗霉閿濆浜ら柤鏉挎健濮婃椽顢楅埀顒傜矓閹绢喖纾奸柕濞у嫬鏋戦梺鍝勫暙閻楀棛绮婚弽銊х鐎瑰壊鍠曠花濠氬箚閻斿吋鈷戦梻鍫熶緱濡牓鏌涢悩鎰佹畼缂佽京鍋為幆鏃堝閵忋垻妲囬梻浣圭湽閸ㄨ棄岣胯閻楀酣姊绘担鍝勫付缂傚秴锕︾划濠氬冀瑜滈崵鏇㈡煕濞戞﹫鍔熼柣鐔风秺閺屽秷顧侀柛鎾跺枎椤曪絾绻濆顒€宓嗛梺闈涚箳婵炩偓闁哥偠娉涢埞鎴︽偐閼碱兛绮甸梺鍛婃⒐閻楁粓鎮疯缁辨捇宕掑顑藉亾閻戣姤鍤勯柤鎼佹涧閸ㄦ梹銇勯幘鍗炵仼闂傚偆鍨堕弻銊モ攽閸♀晜笑闂佽棄鍟伴崰鎾诲焵椤掆偓缁犲秹宕曢柆宥嗗亱婵犲﹤鍠氶悗鍫曟煏婵炵偓娅嗛柍閿嬪灴閺屾稑鈽夊鍫熸暰闁诲繐绻嬮崡鎶藉蓟閿濆鍋勯柛娆忣槹閻濇岸姊洪棃娑欘棛缂佲偓娓氣偓閸┿垺鎯旈妸銉ь唺闂佸搫鍟崐鐟邦熆閹寸偟绡€闁汇垽娼ф禒锕傛煕閵娿儳鍩i柟顔惧厴閺佸啴鍩€椤掑嫬鐓濈€广儱顦~鍛存煏閸繃顥戦柟閿嬫そ閺岋綁鎮╅崗鍛板焻闂佸憡鏌ㄩ懟顖炲煝瀹ュ绠涢柣妤€鐗忛崢鐢告⒑閸涘﹤鐏熼柛濠冪墱閳ь剚鐔幏锟�
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌i幋锝呅撻柛濠傛健閺屻劑寮村Δ鈧禍鎯ь渻閵堝簼绨婚柛鐔告綑閻g柉銇愰幒婵囨櫔闂佸憡渚楅崹浼村极閹间焦鈷掑〒姘e亾闁逞屽墰閸嬫盯鎳熼娑欐珷闁规鍠氱壕濂稿级閸稑濡兼繛鎼枟椤ㄣ儵鎮欑€涙ê纾冲Δ鐘靛仦鐢帡鍩為幋锕€閱囨繝闈涙搐閳ь剦鍨跺铏规嫚閸欏鏀銈庡亜椤︻垳鍙呭┑鈽嗗灣閸樠囧垂濠靛牃鍋撻崗澶婁壕闂佸憡娲﹂崜娆愮婵傚憡鈷戠紓浣姑悘杈ㄤ繆椤愩垹顏柟顔界懄缁绘繈宕堕妸褍甯楅梻浣告啞缁诲倻鈧凹鍓熷鎼佹晜閸撗咃紲闁哄鐗滈崑鍕儍閾忓湱纾奸弶鍫涘妽瀹曞瞼鈧娲樼敮鎺楋綖濠靛鏁勯柦妯侯槷婢规洟姊鸿ぐ鎺擄紵闁绘帪绠撳畷鎴犫偓锝庡枤閸欐捇鏌涢妷锝呭闁抽攱鍔欓弻娑樷枎韫囨洜顔掗梺鍝勭焿缂嶄焦鎱ㄩ埀顒勬煃閹増纭剧紓宥咃躬楠炲棛浠︽潪鎸庢瀹曘劑顢欓幆褍姹查梻鍌欒兌缁垰煤閺嶎厼纾归柛锔诲幐閸嬫挸顫濋悙顒€顏�
|
闂傚倸鍊搁崐鎼佸磹閹间礁纾圭€瑰嫭鍣磋ぐ鎺戠倞鐟滃繘寮抽敃鍌涚厽闁靛繆鎳氶崷顓犵幓婵°倕鎳忛悡娆撴煙濞堝灝鏋涙い锝呫偢閺屾稓鈧絽澧庣弧鈧梺鍝勬湰濞叉ê顕ラ崟顖氶唶婵犻潧妫楅ˉ娆愮節閻㈤潧浠﹂柛銊﹀劶瑜版粓姊虹悰鈥充壕婵炲濮撮鍡涘磹閻㈠憡鐓ユ繝闈涙閺嗘瑥鈹戦敍鍕幋闁哄本绋撻埀顒婄秵閸嬪懎鐣峰畝鈧埀顒冾潐濞叉ḿ鏁敓鐘茬畺婵炲棙鎸搁拑鐔兼煏婢跺牆鍔滈柡鍡╀邯濮婂宕掑▎鎴М闂佸湱鈷堥崑鍕弲闂侀潧艌閺呮稓澹曟繝姘厽闁归偊鍠栭崝瀣煕婵犲倻浠涢柕鍥у楠炴帡宕卞鎯ь棜闂傚倷绀侀悿鍥綖婢舵劕鍨傞柛褎顨呯粻鏍ㄧ箾閸℃ɑ灏柣顓燁殔椤潡鎳滈惉顏呭灴閺佸秵绗熼埀顒€顫忕紒妯诲閻熸瑥瀚禒鈺呮⒑閸涘﹥鐓ラ梺甯到閻i攱瀵奸弶鎴濆敤閻熸粍绮撳畷鐢稿即閻愨晜鏂€闂佺粯锚绾绢參銆傞弻銉︾厸闁告侗鍠楅崐鎰版煛鐏炶濮傞柟顔哄€濆畷鎺戔槈濮楀棔绱�
|
   
专 题 栏 目
 婵犵數濮烽弫鍛婃叏閻戣棄鏋侀柛娑橈攻閸欏繘鏌i幋锝嗩棄闁哄绶氶弻鐔兼⒒鐎靛壊妲紒鎯у⒔缁垳鎹㈠☉銏犵闁绘劕鐏氶崳褏绱撴担绋款暢闁稿鍊濆璇测槈閵忕姈銊︺亜閺冨倸甯舵い顐熸櫇缁辨挻鎷呴幓鎺嶅闂備礁澹婇崑鍡涘窗閹捐泛濮柍褜鍓熷濠氬磼濮樺崬顤€缂備礁顑嗙敮锟犲极瀹ュ绫嶉柛顐ゅ枔閸橀箖姊洪崫鍕垫Ъ婵炲娲樼粋鎺楀閵堝棭姊挎繝銏e煐閸旀牠鎮¢妷锔剧瘈闂傚牊绋掗ˉ鐐烘煕閿濆棙銇濋柟顔肩秺楠炲洭濡搁妷銉㈡嫟闂備線娼уú銈団偓姘嵆瀹曟椽鏁撻悩鑼槰闂侀潧枪閸庤京绮婚敐澶嬧拻濞达絿鐡旈崵鍐煕閻樺磭娲撮柨婵堝仦瀵板嫰骞囬鍌ゅ數闂備礁鎲$粙鎺戓缚濞嗘劕顕遍柣妯肩帛閻撳繐顭块懜寰楊亪鎮橀敐鍥╃<闁逞屽墯缁绘繈宕熼鐙呯闯闂備胶枪閺堫剟鎮疯钘濋柨鏂款潟娴滄粓鏌ㄩ弮鍥跺殭闁诲骏绠撻弻鐔碱敊閻偒浜崺鐐哄箣閻橆偄浜鹃柨婵嗙凹缁ㄤ粙鏌涘▎灞戒壕濠电姷鏁告慨浼村垂婵傜ǹ鏄ラ柡宥庡幖缁€澶愭煛閸モ晛啸濞戞挸绉撮埞鎴︽偐瀹曞浂鏆¢梺绋匡工閻忔氨鎹㈠☉銏犵闁绘垵妫旈惀顏勵渻閵堝懐绠版俊顐n殜钘熸慨妯垮煐閻撴洟鏌熼柇锕€澧柍缁樻礃缁绘盯骞橀幇浣哄悑闂佸搫鏈ú鐔风暦閻撳簶鏀介柛顐犲焺閸炴椽姊虹拠鑼嚬缂佹彃顭峰畷鎴﹀箛椤旂瓔娼熼梺鍦劋椤ㄥ繘寮繝鍥ㄧ厽闁挎繂鎳忓﹢浼存煕閿涘崬鍠氬〒濠氭煏閸繃顥炵紒宀冩硶缁辨挸顓奸崟顓фМ闂佷紮绲块崗姗€鐛崶顒佸亱闁割偅绻€缁ㄥ姊绘担鐟板姢缂佺粯顨婇敐鐐村緞婵犲海鍞甸梺纭呮彧闂勫嫰鍩涢幒鎳ㄥ綊鏁愰崨顔兼殘闂佽鍨伴悧濠勬崲濞戞矮娌柛灞捐壘椤洭鎮楃憴鍕;闁告濞婇悰顔嘉熼懖鈺冿紲濠碘槅鍨靛銊у垝瑜斿缁樻媴閼恒儳銆婇梺闈╃秶缁犳捇鐛箛娑欐櫢闁跨噦鎷�
相 关 文 章

腾讯QQ2009 正式版SP4测
QQ2009 正式版SP4邀您优
QQ2009正式版SP3 邀您优
QQ2009正式版SP2 邀您优
一周软件回顾 Vista SP2
Adobe Flash CS4 试用版
微软Windows XP SP3 概览
腾讯QQ2009 正式版SP4 正
腾讯QQ2009 正式版 SP4 
比特精灵(BitSpirit)最新

 
ASP.NET虚拟主机安全漏洞解决方案           
ASP.NET虚拟主机安全漏洞解决方案
作者:陈鹏 文章来源:eNet 点击数:144 更新时间:2009-9-12 9:10:03
 




 

曾经很早就在网上看到一篇关于<asp.net虚拟主机的重大隐患>的文章,当时并不在意,做过asp虚拟主机的朋友可能都知道,即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限,能够基本上解决asp的fso问题。

  在网上无意中发现了一个叫做webadmin的asp.net-webshell,对自己的服务器进行测试的时候,让我大吃一惊,居然对我服务器的c盘有读取的权限。以及对整个硬盘的修改删除权限。这样的话,那么我的服务器的安全……

  为了进一步证实,本人曾在国内一些著名的虚拟主机提供商上作过测试,均有和我一样的问题。

  有必要先介绍一下漏洞的原因。

  ASP中常用的标准组件:FileSystemObject,这个组件为 ASP 提供了强大的文件系统访问能力,可以对服务器硬盘上的任何有权限的目录和文件进行读写、删除、改名等操作。FSO对象来自微软提供的脚本运行库scrrun.dll中。
在ASP.NET中我们发现这一问题仍然存在,并且变得更加难以解决。这是因为.NET中关于系统IO操作的功能变得更加强大,而使这一问题更严重的是ASP.NET所具有的一项新功能,这就组件不需要象ASP那样必须要使用regsvr32来注册了,只需将Dll类库文件上传到bin目录下就可以直接使用了。这一功能确实给开发ASP.NET带来了很大的方便,但是却使我们在ASP中将此dll删除或者改名的解决方法失去效用了,防范此问题就变得更加复杂。需要进一步了解的朋友可以看<asp.net虚拟主机的重大隐患>一文,本文就不再重复。只针对此问题引出虚拟主机的安全设置。

  网上提出针对此问题用Microsoft .NET Framework Configration设置System.io的对目录读取的权限,经过我们长时间的测试没有成功,可能是.net framework1.1机制改革了?

  废话不说。先说说解决的思路:在 IIS 6 中,Web 应用程序的工作进程设置为以进程标识“Network Service”运行。在 IIS 5 中,进程外 Web 应用程序则设置为以 IWAM_<服务器名> 帐户运行,这个帐户是普通的本地用户帐户。

  Network Service 是 Windows Server 2003 中的内置帐户。了解 IIS 5 上的本地用户帐户(IUSR 和 IWAM)与这个内置帐户之间的区别是非常重要的。Windows 操作系统中的所有帐户都分配了一个 SID(安全标识,Security ID)。服务器是根据 SID,而不是与 SID 相关的名称来识别服务器上所有帐户的,而我们在与用户界面进行交互时,则是使用名称进行交互的。服务器上创建的绝大部分帐户都是本地帐户,都具有一个唯一的 SID,用于标识此帐户隶属于该服务器用户数据库的成员。由于 SID 只是相对于服务器是唯一的,因此它在任何其他系统上无效。所以,如果您为本地帐户分配了针对某文件或文件夹的 NTFS 权限,然后将该文件及其权限复制到另一台计算机上时,目标计算机上并没有针对这个迁移 SID 的用户帐户,即使其上有一个同名帐户也是如此。这使得包含 NTFS 权限的内容复制可能出现问题。

热门推荐 站长教你租用服务器和选择机房 新手对付病毒 配好系统事半功倍

  内置帐户是由操作系统创建的、一类较为特别的帐户或组,例如 System 帐户、Network Service 和 Everyone 组。这些对象的重要特征之一就是,它们在所有系统上都拥有一个相同的、众所周知的 SID。当将分配了 NTFS 权限的文件复制到内置帐户时,权限在服务器之间是有效的,因为内置帐户的 SID 在所有服务器上都是相同的。Windows Server 2003 服务中的 Network Service 帐户是特别设计的,专用于为应用程序提供访问网络的足够权限,而且在 IIS 6 中,无需提升权限即可运行 Web 应用程序。这对于 IIS 安全性来说,是一个特大的消息,因为不存在缓冲溢出,怀有恶意的应用程序无法破译进程标识,或是对应用程序的攻击不能进入 System 用户环境。更为重要的一点是,再也不能形成针对 System 帐户的“后门”,例如,再也无法通过 InProcessIsapiApps 元数据库项利用加载到 Inetinfo 的应用程序。

  Network Service 帐户在创建时不仅仅考虑了在 IIS 6 中的应用。它还具有进程标识 W3WP.exe 的绝大部分(并不是全部)权限。如同 ASPNET 用户为了运行 ASP.net 应用程序,需要具有 IIS 5 服务器上某些位置的访问权限,进程标识 W3WP.exe 也需要具有类似位置的访问权限,而且还需要一些默认情况下没有指派给内置组的权限。

  为了管理的方便,在安装 IIS 6 时创建了 IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group),而且它的成员包括 Local System(本地系统)、Local Service(本地服务)、Network Service(网络服务)和 IWAM 帐户。IIS_WPG 的成员具有适当的 NTFS 权限和必要的用户权限,可以充当 IIS 6 中工作进程的进程标识。

  因此,Network Service 帐户提供了访问上述位置的权限,具有充当 IIS 6 工作进程的进程标识的充足权限,以及具有访问网络的权限。

  Msdn上说:在 Windows Server 2003 中,用户上下文称为 NETWORK SERVICE。这些用户帐户是在 .NET Framework 安装过程中创建的,它具有唯一的不易破解的密码,并仅被授予有限的权限。ASPNET 或 NETWORK SERVICE 用户只能访问运行 Web 应用程序所需的特定文件夹,如 Web 应用程序存储已编译文件的 \bin 目录。

  要将进程标识设置为特定用户名,以取代 ASPNET 或 NETWORK SERVICE 用户标识,您提供的用户名和密码都必须存储在 machine.config 文件中。

  但是根据实际情况,asp.net的system.io可以无限制访问不设防的服务器路径。不知道这算不算一个ms的重大漏洞。而且根本不能使iis以machine.config的用户执行asp.net程序。J

  如何解决呢?答案就是—应用程序池。

  IIS 6.0 在被称为应用程序隔离模式(隔离模式)的两种不同操作模式下运行,它们是:工作进程隔离模式和 IIS 5.0 隔离模式。这两种模式都要依赖于 HTTP.sys 作为超文本传输协议 (HTTP) 侦听程序;然而,它们内部的工作原理是截然不同的。

  工作进程隔离模式利用 IIS 6.0 的重新设计的体系结构并且使用工作进程的核心组件。IIS 5.0 隔离模式用于依赖 IIS 5.0 的特定功能和行为的应用程序。该隔离模式由 IIs5IsolationModeEnabled 配置数据库属性指定。

  您所选择的 IIS 应用程序隔离模式对性能、可靠性、安全性和功能可用性都会产生影响。工作进程隔离模式是 IIS 6.0 操作的推荐模式,因为它为应用程序提供了更可靠的平台。工作进程隔离模式也提供了更高级别的安全性,因为运行在工作进程中的应用程序的默认标识为 NetworkService。

  以 IIS 5.0 隔离模式运行的应用程序的默认标识为 LocalSystem,该标识允许访问并具有更改计算机上几乎所有资源的能力。

热门推荐 站长教你租用服务器和选择机房 新手对付病毒 配好系统事半功倍

IIS 功能

IIS 5.0隔离模式宿主/组件

工作进程隔离模式宿主/组件

工作进程管理

N/A

Svchost.exe/WWW 服务

工作进程

N/A

W3wp.exe/工作进程

运行进程内ISAPI 扩展

Inetinfo.exe

W3wp.exe

运行进程外ISAPI 扩展

DLLHost.exe

N/A(所有的 ISAPI 扩展都在进程内)

运行ISAPI筛选器

Inetinfo.exe

W3wp.exe

HTTP.sys 配置 Svchost.exe/WWW 服务

Svchost.exe/WWW

服务

HTTP 协议支持

Windows内核/HTTP.sys

Windows 内核/HTTP.sys

IIS配置数据库

Inetinfo.exe

Inetinfo.exe

FTP

Inetinfo.exe

Inetinfo.exe

NNTP

Inetinfo.exe

Inetinfo.exe

SMTP

Inetinfo.exe

Inetinfo.exe



  由此可见,我们只能使用工作进程隔离模式解决.net的安全问题。

热门推荐 站长教你租用服务器和选择机房 新手对付病毒 配好系统事半功倍

  默认情况下,IIS 6.0在工作进程隔离模式下运行,如图五所示。在这种模式中,对于每一个Web应用,IIS 6.0都用一个独立的w3wp.exe的实例来运行它。w3wp.exe也称为工作进程(Worker Process),或W3Core。

ASP



  可靠性和安全性。可靠性的提高是因为一个Web应用的故障不会影响到其他Web应用,也不会影响http.sys,每一个Web应用由W3SVC单独地监视其健康状况。安全性的提高是由于应用程序不再象IIS 5.0和IIS 4.0的进程内应用那样用System帐户运行,默认情况下,w3wp.exe的所有实例都在一个权限有限的“网络服务”帐户下运行,如图六所示,必要时,还可以将工作进程配置成用其他用户帐户运行。

IIS


  对,这里,这里就是我们解决的核心。

  我们把每一个网站都分配一个独立的应用程序池,并赋予不同的权限。不就能解决这个问题了吗?

热门推荐 站长教你租用服务器和选择机房 新手对付病毒 配好系统事半功倍

  具体如何做呢,下面我就针对建立一个网站来做一个示范:

  首先,我们为网站创建两个用户(一个是app_test_user、密码为appuser,一个是iis_test_user、密码为iisuser)

  1. 打开 计算机管理器

  2. 单击控制台树中的用户→计算机管理→系统工具→本地用户和组→用户

  3. 单击“操作”菜单上的“新用户”输入用户名为。app_test_user、密码为appuser

  4. 在对话框中键入适当的信息。

  5. 选中复选框:

   用户不能更改密码

   密码永不过期

  6. 单击“创建”,然后单击“关闭”。

ASP


  按照此方法在创建iis_test_user账户

  然后分别把app_test_user添加到iis_wpg组,把iis_test_user添加到Guests组。删除其他组。

ASP


  然后,建立相应的应用程序池。

  依次打开Internet 信息服务→本地计算机→应用程序池→新建→应用程序池

热门推荐 站长教你租用服务器和选择机房 新手对付病毒 配好系统事半功倍

  新建一个名字为test的应用程序池

ASP


  编辑test应用程序池的属性→标示→配置→用户名→浏览→把用户名改为我们刚才建立的app_test_user并输入相应的密码

ASP


  其次建立相应的网站。

  依次打开Internet 信息服务→本地计算机→网站→新建→test的网站,目录为d:\test →编辑test网站的属性→主目录→应用程序池→app_test_user →目录安全性→身份验证和访问控制→编辑,选择我们刚才建立的iis_test_user,并输入相应的密码iisuser→保存并退出。

ASP


  最后设定服务器的安全。

热门推荐 站长教你租用服务器和选择机房 新手对付病毒 配好系统事半功倍

  C:只给administrators和system完全控制的权利,删除掉其他所有的权限,不替换子目录


  C:\Documents and Settings继承父项,并替换子目录。

  C:\Program Files继承父项,并替换子目录,并把C:\Program Files\Common Files\Microsoft Shared继承属性删除并复制现有属性,增加users的读取权限并替换子目录(这样做是为了能够让asp,asp.net使用access等数据库)。

  C:\windows删除继承,并复制现有属性,只给予administrators,system完全控制和users读取的权限并替换子目录

  其余所有的盘都只给于administrators和system用户的完全控制权限,删除其他所有用户并替换子目录。

  D:\test(用户网站目录)继承现有属性并增加app_test_user和iis_test_user完全控制的权限并替换子目录。

  以后每增加一个网站都以此类推。

  但是,至此,system.io还是对c:\windows又读取权限的,(怀疑network servers用户属于users组,但是好多服务都要使用users组来执行的,所以不能把c:\windwos去掉users组的读取权限)但必须知道系统路径,有两种方案解决。

  1、 再安装系统的时候使用无人值守安装,更换c:\windows默认安装路径,如更改为c:\testtest(要符合dos的命名规则,不能超过8个字符)。这个是必需的

  2、 以下位置具有指派给 IIS_WPG 的权限:

  %windir%\help\iishelp\common – 读取
  %windir%\IIS Temporary Compressed Files – 列出、读取、写入
  %windir%\system32\inetsrv\ASP Compiled Template – 读取
  Inetpub\wwwroot(或内容目录)- 读取、执行

  此外,IIS_WPG 还具有以下用户权限:

  忽略遍历检查(SeChangeNotifyPrivilege)

  作为批处理作业登录(SeBatchLogonRight)

  从网络访问此计算机(SeNetworkLogonRight)

  当然两种方法结合起来算是最安全的方案,一般使用第一种方案已经算是很安全的,毕竟是用一个webshell来猜测8位字符的目录还是需要花费时间的。使用防火墙很容易就能察觉出来,并加以控制。

热门推荐 站长教你租用服务器和选择机房 新手对付病毒 配好系统事半功倍


【责任编辑 徐洋】

文章录入:陈鹏    责任编辑:陈鹏 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
     
     
     
     

    Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved
    本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。
    鲁ICP备07014697号
    你是本站第 位访客
    51La