服务器配置功略之如何防止利用FSO跨站攻击
支付宝内搜索 9155838 即可领现金红包 每天都能领哦
先介绍一下什么叫FSO, FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。 迅捷主机网的W2K虚拟主机服务器具有高安全性,可以让客户在自己的网站空间中任意使用却有没有办法危害系统或者妨碍其他客户网站的正常运行。
其实一个最简便的方法就是“断了根源”大家都不要用FSO这个是非常毒的方法:卸载FSO对象
在cmd下运行:regsvr32.exe scrrun.dll /u
上面一个方法显然不是一个好办法,如果只要我自己可以使用其他的用户不让他使用(针对开放不支持FSO的ASP免费空间)
打开注册表编辑器,搜索“FileSystemObject”,然后把搜到的这个键该名成类似“Filesystemobject456”的字样,然后重启,以后别人就不能用FSO了,你要用就在你的ASP文件里面搜索“FileSystemObject”,然后把搜到的这个键该名成“Filesystemobject456”就可以了。
如果是专门买虚拟主机,按客户要求支持FSO可以这么利用磁盘NTFS分配权限来防止利用FSO攻击。
我们来介绍一下NTFS的权限
□文件与文件夹的NTFS权限
WIN2000硬盘内的文件与文件夹,如果是NTFS磁盘分区,则可以通过所谓的NTFS权限来指派用户或组对这些文件或文件夹的使用权限。只ADMINISTRATORS组内的成员,才能有效地设置NTFS权限。
□ NTFS权限的类型
1、标准NTFS文件权限的标准
A、读取:读取文件内的数据,查看文件的属性。
B、此权限可以将文件覆盖,改变文件的属性。
C、读取及运行:除了“读取”的权限外,还有运行“应用程序“。
D、修改:除了“写入”与“读取与运行”权限外,还有更改文件数据。删除文件。改变文件名。
E、完全控制:它拥有所有的NTFS权限的。
□ 标准NTFS文件夹权限的类型
A、读取:此权限可以查看文件夹内的文件名称,子文件夹的属性。
B、写入:可以在文件夹里写入文件与文件夹。更改文件的属性。
C、列出文件夹目录:除了“读取”权限外,还有“列出子文件夹”的权限。即使用户对此文件夹没有访问权限。
D、读取与运行:它与“列出文件夹目录”几乎相同的权限。但在权限的继承方面有所不同,“读取与运行”是文件与文件夹同时继承,而“列出子文件夹目录”只具有文件夹的继承性。
E、修改:它除了具有“写入”与“读取与运行”权限,还具有删除,重命名子文件夹的权限。
F、完全控制:它具有所有的NTFS文件夹权限。
□ 用户权限的有效性
1、权限的累加性
用户对某个资源的有效权限是所有权限的来源的总和。
2、“拒绝”权限会覆盖所有其他权限。
虽然用户的有效权限是所有权限的来源的总和。但是只要其中有个权限是被设为拒绝访问,则用户最后的有效权限将是无法访问此资源。
文件会覆盖文件夹的权限:
如果针对某个文件夹设置了NTFS权限,同时也对该文件夹内的文件设置了NTFS权限。则以文件的权限设置为优先。
□ NTFS权限的设置
指派文件夹的权限:
1、设置NTFS权限的步骤:
我的电脑——双击磁盘——选定文件夹——鼠标右键——属性——安全。
2、权限设置
A、默认:EVERYONE权限是无法更改的。因为它是继承了上一层的权限,若要更改则必须清除“允许将来自父系的可继承权限传播给该对象”。
B、增加权限用户:“安全”选项卡——增加——选择所需用户——设置相应的权限
指派文件的权限:
1、我的电脑——双击磁盘——选定文件——单击鼠标右键——属性——安全。
2、文件权限的指派与文件夹权限的指派类似。
特殊权限的指派:
1、“安全”选项卡——单击“高级“——”权限“。
A、允许将来自父系的可继承权限传播给该对象,也就是说文件夹的权限可以继承上一文件夹的权限。
B、重置所有子对象的权限并允许传播可继承权限。也就是说清除子对象 所有权限,然后将子对象的权限重新设置成与此父对象相同的权限。
2、“安全”选项卡——单击“高级“——”权限“——查看/编辑。
□ 文件与文件夹的所有权
WIN2000的NTFS磁盘分区内,每个文件与文件夹都有其“所有者”,系统默认是建立文件或文件夹的用户,就是该文件或文件夹的所有者,所有者永远具有更改该文件或文件夹的权限能力。WIN2000文件或文件夹的所有者是可以转移的。是由其他用户 来实现转移的。转移者必须有以下权限:
1、拥有“取得所有权”的特殊权限。
2、具有“更改权限”的特殊权限,
3、拥有“完全控制”的标准权限。
4、任何一位具有ADMINISTRATOR 权限的用户,无讼对该文件或文件夹拥有哪种权限。他永远具有夺取所有权的能力。
□ 文件复制或移动时权限的改变
1、文件从某文件夹复制到另一个文件夹时:由于文件的复制,等于是产生另一个新文件,因此新文件的权限继承目的地的权限。
2、文件从某文件夹移动到另一个文件夹时,它分两种情况。
A、如果移动到同一磁盘分区的另一个文件夹内,则仍然保持原来的权限。
B、如果移动到另一个磁盘分区的某个文件夹内,则该文件将继承目的地的权限。
注:
A、将文件移动或复制到目的地的用户,将成为该文件的所有者。
B。、文件夹的移动或复制与文件的移动或复制原理是相同的。
C、不过将NTFS磁盘分区的文件或文件夹移动或复制到FAT/FAT32磁盘分区下。将会将NTFS磁盘分区的下的安全设置全部取消。
讲完了NTFS分区的好处和权限配置我们就开始吧!
例如:我们服务器新添加了一个用户(www.dngz.net),我们要给他虚拟主机了
我们先给硬盘分区设置一下权限,设置好了,我们给用户建一个本地目录,也就是用户的网站的根目录我们就建到F:\www.dngz.net
到控制面版----管理工具---服务器管理--本地用户或组---用户----新增USER_www.dngz.net的用户
选择USER_www.dngz.net用户--属性---修改隶属于改成gusets组
给用户的文件夹F:\www.dngz.net分配权限(USER_www.dngz.net是控制改用户的来宾帐号 ASP.NET 由于服务器上支持。NET所以也要把ASPNET帐户的权限给他,否则执行ASP。NET将权限不够)。
把USER_www.dngz.net 和ASPNET的帐号的权限都设置下(记住一定不要把完全控制的权限分配给用户)
然后我们建立IIS指向到该用户的目录
打开IIS---新建 WEB站点---选择WEB服务器(www.dngz.net)--属性--- 目录安全性----匿名访问和验证控制---编辑 匿名访问---编辑
选择USER_www.dngz.net用户名作为访问此站点的用户帐号
按确定---好了到这里我们就基本上结束了
最后我们来调试一下配置是否正确(我们以桂林老兵木马来做演示)
这样用户只能看到本地的目录了。其他的盘由于我没有设置我就不介绍了,(系统盘设置比较麻烦一点,建议不要随便设置,否则可能导致IIS不能执行ASP或ASP.NET文件)
更新于:2007-03-12 02:17:38 栏目:技术技巧 关键词:
本站使用「署名 4.0 国际」创作共享协议,可转载、引用,但需署名作者且注明文章出处