iis的几点安全配置

2024年1月6日发(作者：)

本节课介绍IIS的几点安全配置,主要包括了,

写权限漏洞利用和防范

目录浏览漏洞的利用和防范

利用自定义404错误页面来防范工具扫描

脚本后缀映射

一 IIS写权限漏洞

1 Webdav服务扩展

允许客户发布、锁定和管理 Web 上的资源，它允许客户端执行以下操作：

处理资源，处理服务器上 WebDAV 发布目录中的资源。例如，具有正确权限的用户可以在

WebDAV 目录中复制和移动文件。

修改属性，修改与某些资源相关联的属性。例如，用户可写入并检索文件的属性信息。

锁定资源和解除资源锁定，以便多个用户可以同时读取一个文件。不过，每次只有一个用户能修改该文件。

搜索位于 WebDAV 目录中的文件的内容和属性。

2.网站权限级别

读取：用户可以查看文件内容和属性。

写入：用户可以更改文件内容和属性。

脚本资源访问：用户可以访问文件的源代码，如 Active Server Pages (ASP) 应用程序中的脚本。仅当指派了“读取”或“写入”权限时，才能使用此选项。用户可以访问源文件。如果指派了“读取”权限，则可以读取源代码。如果指派了“写入”权限，则也可以对源代码进行写入。

目录浏览：用户可以查看文件列表和集合。

记录访问：为每次网站访问创建一个日志项目。

索引资源 允许索引服务索引该资源。

纯脚本：将应用程序的权限设置为“纯脚本”可以使映射到脚本引擎的应用程序在此目录中运行，而无需拥有为可执行文件设置的权限。将权限设置为“纯脚本”比将它们设置为“脚本和可执行文件”更安全，这是由于您可以限制能够在该目录中运行的应用程序。

脚本和可执行文件：将应用程序的权限设置为“脚本和可执行文件”以允许应用程序在此目录中运行，其中包括映射到脚本引擎的应用程序和 Windows 二进制文件（.dll 和 .exe 文件）

二 自定义404错误页面

1 HTTP状态

扫描器进行网站扫描的时候就会拿他数据库中存在的后台页面跟我们要扫描的网站进行比对,如果存在就返回200的状态,不存在就返回404状态

几种常见的http状态

200:访问正常

403:禁止访问

404:没有找到文件

500:服务器错误

2 自定义错误消息

可以配置IIS来发送自定义错误消息，而不是发送默认的 HTTP 1.1 错误消息。这些自定义错误信息可以映射为文件名或 URL。

1.默认值

2.文件

三 修改脚本后缀

C: