正在加载图片...
742p3高级程 Chinapub.com 下载 认真配置Web应用程序 在IS中创建的每个虚拟应用程序,都有相应的配置对话框,以确保其安全。在应用程序 的 Properties对话框中的Home/ Virtual Directory选项卡中,点击 Configuration按钮,就可以找 到该配置对话框,如图24-8所示。 32netsrymd GET POST CWNNT\Swstem32netr\ncd GE 图24-8Web应用程序的配置对话框 从 APP Mappings选项卡开始,最应该做的是删除不使用的应用程序与文件扩展名之间的 映射关系。黑客可通过这种映射关系禁用目标服务器(这个安全漏洞的详细资料可在 http://www.eeye.com/database/advisories/ad06081999.htm中查到)。选择一个想要删除的映射 关系,点击 Remove按钮即可 选择 App Options选项卡,可以考虑禁用父路径( Parent Path),这样客户就不能在自己的 URL请求中使用“…”表示父路径,使其不能进入隐藏区域,例如:htp:/www.example com/’/ vti bin’。另一个解决的方法是在每个文件夹内用默认的主页文件名建立一个文件 可以防止目录被浏览 24.3.2验证方法 确认 Internet/intranet的每一个应用程序都使用了最强大的验证模式。方法越强大,就越能 确保用户能够准确地表明自己的身份。IS支持三种类型的验证控制:匿名访问、基本验证和 Windows内置验证。每一种模式都能在IS中的web站点 Properties对话框的 Directory Security 选项卡内设置。点击顶部的Edit按钮,可看到图24-9的对话框 每种方式的复选框都能独立地选择。这意味可以同时启用多种机制,并为请求自动地选 择最合适的一种模式 1.匿名验证 匿名访问可用时,IIS不管用户的身份,分配一个预先指定的帐号和权限给访问Web服务 器上的文件的任何人。匿名用户的默认帐户是安装ⅡS时生成的 IUER Machine Name。注意 在这里的 Machine name是安装IS的计算机的名称。这个帐号被分配给 Guests帐号组,并给出8. 认真配置We b应用程序 在I I S中创建的每个虚拟应用程序,都有相应的配置对话框,以确保其安全。在应用程序 的P r o p e r t i e s对话框中的H o m e / Virtual Directory选项卡中,点击 C o n f i g u r a t i o n按钮,就可以找 到该配置对话框,如图2 4 - 8所示。 图24-8 We b应用程序的配置对话框 从APP Mappings选项卡开始,最应该做的是删除不使用的应用程序与文件扩展名之间的 映射关系。黑客可通过这种映射关系禁用目标服务器 (这个安全漏洞的详细资料可在 h t t p : / / w w w. e e y e . c o m / d a t a b a s e / a d v i s o r i e s / a d 0 6 0 8 1 9 9 9 . h t m l中查到)。选择一个想要删除的映射 关系,点击R e m o v e按钮即可。 选择App Options 选项卡,可以考虑禁用父路径 (Parent Path),这样客户就不能在自己的 U R L请求中使用“ . .”表示父路径,使其不能进入隐藏区域,例如: h t t p : / / w w w. e x a m p l e . c o m /’. . / _ v t i _ b i n’。另一个解决的方法是在每个文件夹内用默认的主页文件名建立一个文件, 可以防止目录被浏览。 24.3.2 验证方法 确认I n t e r n e t / i n t r a n e t的每一个应用程序都使用了最强大的验证模式。方法越强大,就越能 确保用户能够准确地表明自己的身份。 I I S支持三种类型的验证控制:匿名访问、基本验证和 Wi n d o w s内置验证。每一种模式都能在 I I S中的We b站点P r o p e r t i e s对话框的Directory Security 选项卡内设置。点击顶部的 E d i t按钮,可看到图2 4 - 9的对话框。 每种方式的复选框都能独立地选择。这意味可以同时启用多种机制,并为请求自动地选 择最合适的一种模式。 1. 匿名验证 匿名访问可用时, I I S不管用户的身份,分配一个预先指定的帐号和权限给访问 We b服务 器上的文件的任何人。匿名用户的默认帐户是安装 I I S时生成的I U E R _ M a c h i n e N a m e。注意, 在这里的M a c h i n e N a m e是安装I I S的计算机的名称。这个帐号被分配给 G u e s t s帐号组,并给出 742计计ASP 3 高级编程 下载