假期中IIS問題的調查結果[轉譯]
《本文轉譯自Microsoft Security Response Center 部落格文章“Results of Investigation into Holiday IIS Claim”》
針對假期裡報導的 IIS 中可能存在的漏洞問題,我們已經完成了全面的調查研究,最終發現,IIS 中沒有漏洞。
我們所看到的是:IIS 6 僅在處理 URL 中的分號時會出現不一致性。報導中的說法僅僅是抓住了這個不一致性,就聲稱這會導致黑客繞過內容過濾軟體,然後向 IIS 伺服器上傳和執行程式碼。
事實上最關鍵的問題是:攻擊能夠成功的前提在於 IIS 伺服器必須被配置成在同一目錄下同時允許“寫”和“執行”的許可權。這並不是 IIS 的預設配置,而且有悖於我們釋出的任何最佳實踐指導。簡言之,做這種配置的 IIS 伺服器本身就赤裸裸地向黑客敞開了大門。
因此,使用者只要使用預設配置的 IIS 6.0 或者遵循我們推薦的最佳實踐指導,就無須對這個問題有任何擔憂。不過,如果你的 IIS 在同一目錄下同時允許“寫”和“執行”的許可權,就像上述攻擊前提中描述的那樣,我們建議你仔細閱讀我們的最佳實踐,馬上修改配置,從而更好地保護系統免受不當配置會導致的威脅。重申一次,下面是我們的最佳實踐資源列表:
IIS 部門的同事正在評估一項改善措施,以便讓 IIS 6.0 的操作行為與其它版本一致。同時,他們也已經把更多相關資訊放到了他們的 weblog 上。
希望上述內容可以打消大家的疑慮。
祝大家假期愉快,新年快樂!
Christopher
*帖子內容是“按目前情況”,不作任何保證,且不賦予任何權利*
相關文章
- 需求分析問卷調查及反饋結果
- 2021 Rust 調查結果公佈:共 9354 份調查問卷收集Rust
- IIS配置問題總結
- hibernate查詢結果Logic:iterate問題
- 關於分頁查詢結果的快取問題快取
- 2017 年 Laravel 調查結果Laravel
- 開發者如何使用 Node.js 的調查結果Node.js
- 京東公佈假茅臺案調查結果及處理進展:進行十倍補償
- 2021年Rust語言調查結果Rust
- 2017年laravel行業調查結果Laravel行業
- 2023年度Rust調查結果Rust
- 2021年Go語言開發者調查結果Go
- TeamViewer:據調查25%的人會在假期中接到工作View
- Kotlin Multiplatform 的首次使用者調查結果出爐啦KotlinPlatform
- 2013年JavaScript開發人員調查結果JavaScript
- UIColletionView效能調研結果UIView
- 國內外ERP應用成功率堪憂 調查結果令人震撼(轉)
- 從審計結果看建築行業管理中存在的問題(轉)行業
- 惡意軟體Chrysaor在Android平臺上的調查結果Android
- VS2015 查詢結果明細沒顯示問題
- 資料庫高io問題調查資料庫
- 中文版:Stack Overflow 2015年開發者調查結果
- 【MySQL】order by 結果不準確的問題及解決MySql
- 部署iis伺服器與c#程式遇到的問題小結伺服器C#
- 巧用臨時表將大結果集轉換為小結果集驅動查詢薦
- 使用查詢結果更新表的方法
- oracle 查詢結果的各種格式Oracle
- 問卷調查中常見問題及解決方法
- SitePoint:2015年度最流行PHP框架調查結果Laravel居首PHP框架Laravel
- navicat 匯出查詢結果
- mysql匯出查詢結果MySql
- 查詢構造器結果--物件陣列互轉方法物件陣列
- long查詢結果轉換為varchar2型別型別
- IIS連線ORACLE的一個問題Oracle
- [譯] 搜尋結果頁的最佳實踐
- 有趣的ES:解決es返回結果數量限制問題
- 疑惑:java中文問題在各種測試中的結果Java
- 解決 Python 指令碼無法生成結果的問題Python指令碼