




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、WEB327怎樣使 IIS更安全,胡 雪高級顧問 美國微軟公司 顧問咨詢部 Microsoft Corporation,日程:,出名的病毒:Code Red (I ) ( / Do stuff else Response.write(Access Denied); function isPasswordOK(strName, strPwd) var fAllowLogon = false; var oConn = new ActiveXObject(ADODB.Connection); var strConnection=Data Source=c:authauth.mdb; oConn.Op
2、en(strConnection); var strSQL = SELECT count(*) FROM client WHERE + name= + strName + + and pwd= + strPwd + ; var oRS = new ActiveXObject(ADODB.RecordSet); oRS.Open(strSQL,oConn); fAllowLogon = (oRS(0).Value 0) ? true : false; oRS.Close(); delete oRS; oConn.Close(); delete oConn; return fAllowLogon;
3、 ,危險在哪?,好人 Username: jeff Password: &y-)4Hi=Qw8 SELECT count(*) FROM client WHERE name=jeff and pwd=&y-)4Hi=Qw8,壞人 Password: or 1 = 1,SELECT count(*) FROM client WHERE name=jeff and pwd= or 1=1,Unicode attack,IIS 檢查 . 防止進入父目錄。但IIS 5 Gold 沒檢查 UTF-8 的 或 /. 例如 %c0%af.,http:/localhost/scripts/.%c0%af./w
4、innt/system32/cmd.exe?/c+type%20d:boot.ini,http:/localhost/scripts/.%c0%af./winnt/system32/cmd.exe?/c+copy%20d:winntsystem32cmd.exe root.exe,http:/localhost/scripts/root.exe?/c+echo Your Website is Defaced d:inetpubwwwrootdefault.asp,對策,Tell the attacker nothing! Determine what is valid input Beware
5、 of quotes Check SQL return values Disable parent paths,如果您不幸被黑,Have a “Incident Response Plan” Remove machines from the net Find out how the hacker did it Perform low-level format Examine connected computers,IIS 4.0 and 5.0 新安全工具,Security hotfixes New: Cumulative Security Hotfixes New: No reboot ho
6、tfixes New: Windows Update Integration New: One-Button-Lockdown-Tool New: Lockdown ISAPI Filter New: HFCHECK v2.0,IIS 6.0安全防范措施,Server is locked down by default Only static files Secure defaults Content protection Secure timeouts and limits Code Security Buffer Overflow Checks automated in the Windo
7、ws build environment VC+ compiler supported (/Gs) Isolation through a new process model Worker Processes run as a low privileged by default Lets get real: WindowsDotNetT Always secure with AutoUpdate,工具和檢查清單, IIS5 Security Checklist HiSecWeb Template HFCheck IIS Lockdown Tool IISlockd.exe Using IPSec: “Designing Secure Web-based Applications” ,總結(jié):,Windows 2000 and Windows.NET are robust platforms that can provide security against real-world attacks provide the tools and features ne
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025至2030中國胰島素注射筆針頭行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報告
- 2025至2030中國腫瘤營養(yǎng)行業(yè)市場深度研究及發(fā)展前景投資可行性分析報告
- 2025至2030中國聯(lián)網(wǎng)汽車行業(yè)產(chǎn)業(yè)運行態(tài)勢及投資規(guī)劃深度研究報告
- 2025至2030中國老年公寓行業(yè)發(fā)展現(xiàn)狀及前景趨勢與投資報告
- 2025至2030中國羊絨針織大衣行業(yè)市場發(fā)展分析及發(fā)展趨勢與投資報告
- 2025至2030中國網(wǎng)絡(luò)連接非IC卡智能電表行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報告
- 2025至2030中國網(wǎng)絡(luò)攝像機行業(yè)市場深度調(diào)研及發(fā)展趨勢與發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報告
- 2025至2030中國網(wǎng)站優(yōu)化行業(yè)市場占有率及投資前景評估規(guī)劃報告
- 2025至2030中國綠豆行業(yè)市場發(fā)展現(xiàn)狀及發(fā)展趨勢與投資風(fēng)險報告
- 2025至2030中國維生素D缺乏治療行業(yè)發(fā)展趨勢分析與未來投資戰(zhàn)略咨詢研究報告
- 公司崗位職級管理制度
- D500-D505 2016年合訂本防雷與接地圖集
- 漏肩風(fēng)(肩周炎)中醫(yī)臨床路徑及入院標準2020版
- 光面爆破知識講座課件
- 高鐵站裝飾裝修方案
- DB4401-T 112.1-2021 城市道路占道施工交通組織和安全措施設(shè)置+第1部分:交通安全設(shè)施設(shè)置-(高清現(xiàn)行)
- 質(zhì)量整改通知單(樣板)
- 杭州市高級中學(xué)2022年高一新生素質(zhì)測試(分班考)模擬試卷
- 《碳纖維片材加固混凝土結(jié)構(gòu)技術(shù)規(guī)程》(2022年版)
- 智能建筑項目設(shè)計方案(模板)
- 短視頻:策劃+拍攝+制作+運營課件(完整版)
評論
0/150
提交評論