Web中間件學習篇
本篇主要從IIS、Apache、Nginx、Tomcat四種常見中間件的IIS入手,介紹相關安全知識,遵循“中間件簡介→如何搭建網站→安全配置分析→安全日志分析”的順序進行學習,旨在梳理常見Web中間件的知識點,為Web安全學習打好基礎。
IIS篇
作者:古月藍旻@安全之光
IIS簡介
IIS是Internet Information Services的縮寫,意為互聯網信息服務,是由微軟公司提供的基於 運行Microsoft Windows的互聯網基本服務。 最初是Windows NT版本的可選包,隨后內置在Windows 2000、Windows XP Professional和 Windows Server 2003一起發行,但在Windows XP Home版本上並沒有IIS。 IIS是一種Web(網頁)服務組件,其中包括Web服務器、FTP服務器、NNTP服務器和SMTP服務器, 分別用於網頁瀏覽、文件傳輸、新聞服務和郵件發送等方面,它使得在網絡(包括互聯網和局域網) 上發布信息成了一件很容易的事。 IIS最經典的版本是IIS6.0,最常見於Windows Server 2003系統中;IIS7.0則常見於 Windows Server 2008中。 目前(2017年)最新的版本是IIS10.0,常見於Windows Server 2016中。 IIS站點搭建
IIS相對於其它Web中間件而言,略有不同,使用了較多圖形化界面操作進行相關配置,主要分為以下幾步:
- 安裝IIS服務
- 部署站點
- 修改站點配置
下面開始詳細介紹如何搭建一個完整的IIS站點
環境介紹
操作系統:Windows Server 2003 Enterprise Edition IIS版本:IIS 6.0 站點類型:Asp 搭建步驟
安裝IIS服務
依次點開 開始→控制面板→添加或刪除程序,在應用服務器 前打勾,點擊詳細信息
勾選Internet信息服務(IIS),點擊詳細信息,然后添加IIS組件中的Web、FTP、NNTP和SMTP等全部四項服務
一路下一步安裝即可
部署站點
啟動IIS服務后,依次點開開始→控制面板→管理工具→Internet服務管理器(IIS管理器),打開IIS管理器
可以看見里面有一個默認站點,默認路徑為C:\Inetpub\wwwroot
我們可以不用管它,另起一個站點,首先在Asp源碼站點隨意下載一個Asp源碼包,再在C:\Inetpub\wwwroot路徑下新建一個qing文件夾
然后在Internet服務管理器(IIS管理器)中新建一個網站
網站描述隨意,在IP地址和端口配置中,選擇網站IP地址為本機IP
網站路徑指定為剛剛創建的qing文件夾
網站權限設置由於本例需要運行asp,因此勾選如下權限,寫入權限一般情況下不勾選,下一步即可完成創建
此時將下載好的asp程序源碼復制粘貼到qing文件夾中
修改站點配置
此時如果僅僅想打開qing文件夾下的html文件是可以的,但是還是無法動態運行asp,並且我們還想做到打開站點后默認頁面為index.asp,這個時候就需要我們進一步設置了
首先右鍵我們新建新建的站點qing,選擇屬性,在主目錄標簽頁選擇如下的權限,同時點擊配置
在選項標簽頁勾選啟用父路徑,在調試標簽頁勾選 調試標志下的兩條,選擇確定
!
在文檔標簽頁,在啟用默認內容文檔處添加index.asp,實現打開站點后默認頁面為index.asp的效果,然后將其一路上移至第一個默認內容文檔,最后一路確定
此時還是不行的,還需要返回上級,找到Web服務拓展,根據下圖所示,允許部分Web服務拓展
此時完成全部配置,打開瀏覽器(本機或同局域網均可),訪問站點url即可
不得不說IIS6.0配置站點還是比較麻煩的,但是如果不按照步驟配置會出現以下症狀:
- asp無法解析,以源碼形式顯示
- 您沒有權限查看該頁面
- 該頁無法顯示
IIS日志分析
Web日志是網站分析和網站數據倉庫的數據最基礎來源,也是網站被入侵排查入侵者和查找相關漏洞的關鍵所在,了解其格式和組成將有利於更好地進行數據的收集、處理和分析。
對於IIS而言,其日志格式種類較多,默認為W3C拓展日志文件格式,該內容可在站點屬性中查看
選擇W3C拓展日志文件格式后,點擊旁邊的屬性,
- 在常規標簽頁可以看見日志按照多長時間划分、日志的默認路徑、日志文件名的規則,
- 在高級標簽頁可以看見日志記錄的字段和其含義(僅限於W3C拓展日志文件格式)
我們可以打開其中一份日志文件,可以看見其中記錄了大量訪問信息包括:訪問時間 服務端名稱 服務端IP 訪問者IP等信息
完整字段含義如下:
順便一提,由於不同的 Windows 版本,IIS日志路徑不一樣,所以分別如下:
Windows Server 2003 IIS日志路徑:C:\Windows\System32\LogFiles
Windows Server 2008 R2 IIS日志路徑:C:\inetpub\logs\LogFiles
IIS日志分析工具
這么直接看日志的效率還是非常低,所以還是需要相關的工具輔助一下,工具還是比較多,下面介紹兩個比較好用的
Log Parser
微軟官方出品,老牌日志分析工具,雖是老牌工具,但是目前只有英文版和日文版,附上下載地址:log parser下載
用法還是比較尷尬的,首先需要將日志文件拷貝至log parser目錄下,然后運行該程序,居然打開了一個命令行界面…
用法格式:
LogParser.exe -i:日志原輸入格式 -o:輸出格式 "選擇相應想查看的字段" 默認顯示10行,可以選擇All rows查看全部,選擇Auto Resize自動調節顯示寬度
關於Log Parser詳細的使用說明附上一篇文章,此處不詳細展開了:IIS分析工具詳解
網站日志分析器
國產的工具還是比較好用的,介紹一款秋式網站分析器
可以選擇分析單個日志和日志文件夾,在查看明細處可以看見日志中訪問網站IP的次數
雙擊該IP可以查看具體的訪問內容
IIS日志分析Web攻擊行為
IIS日志有一個重要作用就是分析Web攻擊行為,
sql注入攻擊
下面使用IIS日志分析sqlmap對網站進行sql注入攻擊。
首先使用sqlmap隨便攻擊一處網址url
此時查看日志文件,可以看見大量的訪問記錄,同時記錄了訪問的IP、攻擊payload、sqlmap的user-agent等等
xss攻擊
下面使用IIS日志分析burp suite對網站進行xss跨站攻擊。
首先使用burp suite隨意攔截一處網址url,並在id字段標記,使用xss-fuzzing攻擊
可以看見其中一個payload攻擊成功
此時查看日志文件,同樣可以看見大量的xss攻擊記錄
post方式訪問
上述的sql注入攻擊和xss攻擊由於使用GET方式訪問頁面,因此所有的payload都被完整記錄下了,如果使用POST方式訪問頁面,並傳遞一些信息,IIS日志中能否記錄呢?
我們將GET改為POST並添加hello qingteng
此時查看日志可以看見確實記錄了這次訪問,但是沒有找到其中的hello qingteng
因此使用IIS日志可以記錄GET攻擊的詳細路徑,但是無法記錄POST方式攻擊的詳細內容。
IIS篇主要介紹了IIS6的相關知識點,其實單就微軟陣營而言:目前IIS7占有率更高,而最新的IIS10也有嶄露頭角的趨勢。web服務器市場占有率可以參考netcraft每月更新的web服務器市場占有率報告,這里附上一篇作為結尾:2017年7月web服務器市場占有率報告