網站安全中,對目錄的執行權限是非常敏感的,一般來說,可以寫入的目錄是不能夠擁有腳本的執行權限的,可寫入的目錄如: data、uploads,data目錄主要是基本配置文件和緩存數據,uploads則是附件上傳保存的目錄,本篇將針對不同服務器環境來介紹如何取消這些目錄的執行權限,當然我們也建議用戶其他一些生成純靜態html的目錄,擁有可寫入權限的也統統去除執行權限,這樣系統會更為安全。
Windows下的IIS6.0取消網站目錄腳本的執行權限
打開IIS中站點,在站點uploads目錄、data目錄以及靜態html生成目錄點擊右鍵,菜單中選擇“屬性”,在目錄屬性面板選擇執行權限為“無”即可。
IIS7取消服務器網站目錄腳本的執行權限
第一步呢,我們在IIS的左側選中該目錄,切換到功能視圖
第二步呢,打開“處理程序映射”功能
第三步呢,打開右側的“編輯功能權限”,將“腳本”這一項取消掉即可
限制IIS7的目錄執行權限的本質,就是在編輯功能權限之后,會在所在目錄建立一個web.config,通過里面的配置來限制該目錄的權限,所以,當該目錄已經有web.config的時候,建議先查看一下配置,然后在web.config下直接添加,添加代碼下面的參考解決辦法2。
設置時會遇到寫入失敗的情況,
解決方法是:
1、有可能是當前目錄沒有寫入權限,添加寫入權限即可.
2、你的當前的分區不是ntfs,解決方法,在當前目錄手動創建一個web.config文件即可。
下面附上web.config的內容:
<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <handlers accessPolicy="Read" /> </system.webServer> </configuration>
解釋一下這里面要改的地方“<handlers accessPolicy="Read" />”,
如果想運行腳本, accessPolicy="Read, Script";
如果想執行腳本,accessPolicy="Read, Execute, Script" 。
最后
歡迎關注個人微信公眾號:Bypass--,每周一篇原創高質量的干貨。
