我们所看到的是:IIS 6 仅在处理 URL 中的分号时会出现不一致性。报道中的说法仅仅是抓住了这个不一致性,就声称这会导致黑客绕过内容过滤软件,然后向 IIS 服务器上传和执行代码。
事实上最关键的问题是:攻击能够成功的前提在于 IIS 服务器必须被配置成在同一目录下同时允许“写”和“执行”的权限。这并不是 IIS 的默认配置,而且有悖于我们发布的任何最佳实践指导。简言之,做这种配置的 IIS 服务器本身就赤裸裸地向黑客敞开了大门。
因此,用户只要使用默认配置的 IIS 6.0 或者遵循我们推荐的最佳实践指导,就无须对这个问题有任何担忧。不过,如果你的 IIS 在同一目录下同时允许“写”和“执行”的权限,就像上述攻击前提中描述的那样,我们建议你仔细阅读我们的最佳实践,马上修改配置,从而更好地保护系统免受不当配置会导致的威胁。重申一次,下面是我们的最佳实践资源列表:
<a href="http://technet.microsoft.com/en-us/library/cc782762(WS.10).aspx">IIS 6.0 安全最佳实践</a>
<a href="http://technet.microsoft.com/en-us/library/cc756133(WS.10).aspx">用 Web 站点权限保护站点安全</a>
<a href="http://technet.microsoft.com/en-us/library/cc785089(WS.10).aspx">IIS 6.0 操作指导</a>
<a href="http://msdn.microsoft.com/en-us/library/ms994921.aspx">改进 Web 应用安全:威胁与对策</a>
希望上述内容可以打消大家的疑虑。
祝大家假期愉快,新年快乐!
Christopher
*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利*
![“云管边端”协同的边缘计算安全防护解决方案0 引 言1 5G 及边缘计算2 边缘计算面临的风险3 “云管边端”安全防护技术4 “云管边端”安全防护实践5 结 语[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)