安全维护IIS ASP站点的高级技巧

来源： 作者： 出处：巧巧读书 2007-10-06 进入讨论组

• 关 键 词：
• win2000
• server
• access
• web服务器
• web应用

下一页 1 2 3 4 5 

　　一:前言

　　人说，一朝被蛇咬，十年怕.....。就是这样。2000年初，当我终于摆脱winnt 4.0 server那可怕的补丁之旅，迈向win2000 server时。我终于可以比较放心我的服务器了。但随着sp1的补丁出现。我知道，与微软的补丁因缘又开始轮回了。但还好。

win2000自动化的管理还是让我放心好多，而以前管理winnt后的失眠症状也逐渐消失了。偶尔还能见到我的“梦”老弟。但这一切都伴随者同bigeagle的一次知心交谈中付之东流了。一次。bigeagle发来qq。给我看了一段代码。我一看就知道这不是bigeagle写的代码，那么烂，不过有点熟悉。再一看。啊?!这不是我的数据库连接字符串吗!!GOD。顿时觉得有一种不祥的预兆。不过还好，这个只是个access的，我还用了一些手段防止他被下载。但这足以让我长时间的失眠又来了

　　二：安装过程中的IIS 与 asp安全防护。(这里只考虑是web服务器，而不是本地机子上的web开发平台。

　　)

　　接下来的几天有是几个难熬的日子。我开始重新部署win2000 web服务器的安全策略。

　　找到asp代码被泄漏的原因，原来。我的补丁每次打得都比较及时的。但一次因为卸载FTP时，重装了IIS，而这之后，我并没有再打补丁而导致最新的漏洞web解析出错。(就是那个较新的漏洞 Translate :f 用这个加上一些工具就可以看到asp的代码了。)首先，开始重装IIS。

　　这次安装的策略就是安全，够用。去掉一些多余的东西。

　　一：FTP不要安装了，功能不好，还容易出错，并且漏洞很大。Ftp缺省传输密码的过程可是明文传送

　　，很容易被人截获。(可以考虑用第三方工具。)

　　二：一切实例、文档也不要安装了。这是在web服务器上，最好不要这些例子，事实证明可以从这些例子站点突破IIS的防线的。

查看 http://www.qqread.com/asp/2007/10/u349601.html 更多内容请看路由安全配置专题、Office技巧专区、系统安全设置专题，或进入讨论组讨论。

下一页 1 2 3 4 5 

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：ASP木马的原理和基本防范方法

较新的文章：图解Vista中IIS7的安装及配置ASP+Access环境