Intereting Posts
请求CSR证书。 使用哪个域名?
configurationEXIM保留传入电子邮件的副本,并转发到远程服务器上的相同域
PCIE插槽是否与CPU插槽配合使用?
使用'internal-sftp'在Solaris服务器中进行SFTP日志logging
在Docker中运行nuttcp时出现分段错误
在linux 3.0内核中增加tcp慢启动初始窗口
Vmware备份和复制
CUPS-PDF输出文件名修复
Apache日志分析器的带宽使用情况?
从本地ip连接到传入的VPN客户端
如何启动PhpPgAdmin?
我如何知道“back-sql”选项是否被编译到OpenLDAP中?
寻找唯一的GUID来识别Windows安装
阻止Windows域控制器上的文件和打印机共享
如何在Windows 7中使用Perfmon监视不同域上的服务器的性能
networking服务器| IIS | configuration为不运行某些文件
我目前有一个运行Windows Server 2012的networking服务器,它运行IIS作为它的networking服务器并使用PHP。
让我们假设一个用户能够上传一个特洛伊到我的服务器,通过一个易受攻击的托pipe站点或者其他一些漏洞攻击。
如果用户能够findfile upload到的站点目录,他可以导航到它,从而执行病毒。
最近我向同事介绍了这种可能性,他说服务器的configuration方式只允许执行php脚本。
- 审核日志以查找环境path更改
- 允许执行,拒绝通过GPO进行交互式login
- iis 7.5 ipSecurity denyAction = NotFound会导致500错误,而不是404
- 如何在病毒/恶意软件上传到服务器和数据库之前扫描文件(或数据stream)?
- configurationApache使用密码和盐使用SQL Server身份validation
如何configuration他/她的服务器只允许运行PHP脚本,或者至less不允许攻击者执行某些文件types。
问候
有几种方法可以立即做到这一点,但我认为最常用的方法是使用请求过滤模块,它可以通过IISpipe理器进行访问。 上图中我用红色突出显示了它。 这使您可以阻止具有特定文件扩展名,HTTP动词,URL,HTTP标题或查询string的请求。 您可以将其设置为只允许服务器处理.php(也可能是.css,.html,.png,.jpg …其他常见静态文件types)的请求。
顺便说一句,我在蓝色突出显示的两个项目也可能在这种情况下有兴趣。 目录浏览(默认情况下是closures的)完全符合你的期望,它控制着如果请求中没有指定文件并且没有configuration默认文档,Web服务器是否将返回虚拟目录的目录列表。
处理程序映射控制哪些应用程序configuration为处理哪些文件types。 在这里你告诉IIS,当它看到.php文件的请求时,它需要运行php.exe来处理它。 您可能会删除所有不必要的处理程序映射(包括。 ),以消除您的服务器使用不寻常的扩展名处理文件的可能性。