本文轉自:http://hi.baidu.com/%BA%DA%BA%DA%C4%CF/blog/item/d47898dd291ab6c38c1029ad.html
寫入 不是指寫入數據庫。它用來處理HTTP PUT指令,一般不用,如要寫入該目錄中的asp腳本等文件需要改權限 目錄瀏覽 客戶端可以通過瀏覽器看到web目錄的結構,類似本地資源管理器
運行腳本 客戶訪問目錄內的asp腳本文件時,asp腳本會執行,將執行結果返回 執行 客戶訪問目錄內的可執行文件時,一般是CGI文件,可執行文件將執行后的結果返回 索引資源 如果安裝了索引服務,索引服務為該目錄里的文件建立索引
記錄訪問 日志記錄對該目錄內文件的訪問
轉 安全設置 IIS 中的權限
例1 —— ASP、PHP、ASP.NET 程序所在目錄的權限設置:
如果這些程序是要執行的,那么需要設置“讀取”權限,並且設置執行權限為“純腳本”。不要設置“寫入”和“腳本資源訪問”,更不要設置執行權限為“純腳本和可執行程序”。NTFS 權限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改權限。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),則需要給這些特定的文件配置 NTFS 權限中的 Internet 來賓帳號(ASP.NET 程序是 IIS_WPG 組)的寫權限,而不要配置 IIS 屬性面板中的“寫入”權限。
IIS 面板中的“寫入”權限實際上是對 HTTP PUT 指令的處理,對於普通網站,一般情況下這個權限是不打開的。
IIS 面板中的“腳本資源訪問”不是指可以執行腳本的權限,而是指可以訪問源代碼的權限,如果同時又打開“寫入”權限的話,那么就非常危險了。
執行權限中“純腳本和可執行程序”權限可以執行任意程序,包括 exe 可執行程序,如果目錄同時有“寫入”權限的話,那么就很容易被人上傳並執行木馬程序了。
對於 ASP.NET 程序的目錄,許多人喜歡在文件系統中設置成 Web 共享,實際上這是沒有必要的。只需要在 IIS 中保證該目錄為一個應用程序即可。如果所在目錄在 IIS 中不是一個應用程序目錄,只需要在其屬性->目錄面板中應用程序設置部分點創建就可以了。Web 共享會給其更多權限,可能會造成不安全因素。
例2 —— 上傳目錄的權限設置: 用戶的網站上可能會設置一個或幾個目錄允許上傳文件,上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意,一定要將上傳目錄的執行權限設為“無”,這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序,也不會在用戶瀏覽器里就觸發執行。
同樣,如果不需要用戶用 PUT 指令上傳,那么不要打開該上傳目錄的“寫入”權限。而應該設置 NTFS 權限中的 Internet 來賓帳號(ASP.NET 程序的上傳目錄是 IIS_WPG 組)的寫權限。
如果下載時,是通過程序讀取文件內容然后再轉發給用戶的話,那么連“讀取”權限也不要設置。這樣可以保證用戶上傳的文件只能被程序中已授權的用戶所下載。而不是知道文件存放目錄的用戶所下載。“瀏覽”權限也不要打開,除非你就是希望用戶可以瀏覽你的上傳目錄,並可以選擇自己想要下載的東西。
例3 —— Access 數據庫所在目錄的權限設置: 許多 IIS 用戶常常采用將 Access 數據庫改名(改為 asp 或者 aspx 后綴等)或者放在發布目錄之外的方法來避免瀏覽者下載它們的 Access 數據庫。而實際上,這是不必要的。其實只需要將 Access 所在目錄(或者該文件)的“讀取”、“寫入”權限都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的 Access 數據庫。你的程序需要的是 NTFS 上 Internet 來賓帳號或 IIS_WPG 組帳號的權限,你只要將這些用戶的權限設置為可讀可寫就完全可以保證你的程序能夠正確運行了。
例4 —— 其它目錄的權限設置:
你的網站下可能還有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等,這些目錄只需要設置“讀取”權限即可,執行權限設成“無”即可。其它權限一概不需要設置。
運行腳本 客戶訪問目錄內的asp腳本文件時,asp腳本會執行,將執行結果返回 執行 客戶訪問目錄內的可執行文件時,一般是CGI文件,可執行文件將執行后的結果返回 索引資源 如果安裝了索引服務,索引服務為該目錄里的文件建立索引
記錄訪問 日志記錄對該目錄內文件的訪問
轉 安全設置 IIS 中的權限
例1 —— ASP、PHP、ASP.NET 程序所在目錄的權限設置:
如果這些程序是要執行的,那么需要設置“讀取”權限,並且設置執行權限為“純腳本”。不要設置“寫入”和“腳本資源訪問”,更不要設置執行權限為“純腳本和可執行程序”。NTFS 權限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改權限。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),則需要給這些特定的文件配置 NTFS 權限中的 Internet 來賓帳號(ASP.NET 程序是 IIS_WPG 組)的寫權限,而不要配置 IIS 屬性面板中的“寫入”權限。
IIS 面板中的“寫入”權限實際上是對 HTTP PUT 指令的處理,對於普通網站,一般情況下這個權限是不打開的。
IIS 面板中的“腳本資源訪問”不是指可以執行腳本的權限,而是指可以訪問源代碼的權限,如果同時又打開“寫入”權限的話,那么就非常危險了。
執行權限中“純腳本和可執行程序”權限可以執行任意程序,包括 exe 可執行程序,如果目錄同時有“寫入”權限的話,那么就很容易被人上傳並執行木馬程序了。
對於 ASP.NET 程序的目錄,許多人喜歡在文件系統中設置成 Web 共享,實際上這是沒有必要的。只需要在 IIS 中保證該目錄為一個應用程序即可。如果所在目錄在 IIS 中不是一個應用程序目錄,只需要在其屬性->目錄面板中應用程序設置部分點創建就可以了。Web 共享會給其更多權限,可能會造成不安全因素。
例2 —— 上傳目錄的權限設置: 用戶的網站上可能會設置一個或幾個目錄允許上傳文件,上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意,一定要將上傳目錄的執行權限設為“無”,這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序,也不會在用戶瀏覽器里就觸發執行。
同樣,如果不需要用戶用 PUT 指令上傳,那么不要打開該上傳目錄的“寫入”權限。而應該設置 NTFS 權限中的 Internet 來賓帳號(ASP.NET 程序的上傳目錄是 IIS_WPG 組)的寫權限。
如果下載時,是通過程序讀取文件內容然后再轉發給用戶的話,那么連“讀取”權限也不要設置。這樣可以保證用戶上傳的文件只能被程序中已授權的用戶所下載。而不是知道文件存放目錄的用戶所下載。“瀏覽”權限也不要打開,除非你就是希望用戶可以瀏覽你的上傳目錄,並可以選擇自己想要下載的東西。
例3 —— Access 數據庫所在目錄的權限設置: 許多 IIS 用戶常常采用將 Access 數據庫改名(改為 asp 或者 aspx 后綴等)或者放在發布目錄之外的方法來避免瀏覽者下載它們的 Access 數據庫。而實際上,這是不必要的。其實只需要將 Access 所在目錄(或者該文件)的“讀取”、“寫入”權限都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的 Access 數據庫。你的程序需要的是 NTFS 上 Internet 來賓帳號或 IIS_WPG 組帳號的權限,你只要將這些用戶的權限設置為可讀可寫就完全可以保證你的程序能夠正確運行了。
例4 —— 其它目錄的權限設置:
你的網站下可能還有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等,這些目錄只需要設置“讀取”權限即可,執行權限設成“無”即可。其它權限一概不需要設置。