Web应用安全：IIS禁止目录列出配置.docxVIP

IIS禁止目录列出配置 摘 要：通过本节介绍，让学生了解如何配置IIS目录浏览权限。 关键词：IIS；目录 一、目录遍历攻击 1、基础信息 目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件(可以是Web根目录以外的文件)，甚至执行系统命令。该漏洞常常出现在文件读取或者展示图片等对文件读取交互的功能块。 二、IIS目录浏览权限 1、Windows server 2016中的IIS服务器搭建 在windows server 2016中，可以在“服务器管理器”中的“添加角色和功能”中安装IIS组件。 图1 服务管理器 在接下来弹出的界面中，可以选择安装的服务，可以根据自己的需要安装，在角色服务这一栏中，可以选择全部安装，避免以后缺少某种服务而反回来重新安装的情况。 图2 IIS安装过程 2、IIS网站目录 在“IIS管理器”中，我们可以找到“目录浏览”选项，通过是否启用该选项，我们便可以选择是否开启目录浏览权限。 图3 目录浏览权限设置 3、目录列出 开放目录浏览权限后，攻击者可以通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件(可以是Web根目录以外的文件)，甚至执行系统命令，这种攻击行为被称为“目录列出攻击”，又名目录遍历攻击或者目录泄露攻击。如下图所示，即为开放目录浏览权限后复现的目录遍历攻击 图4 目录遍历攻击 目录列出攻击允许恶意攻击者突破Web应用程序的安全控制，直接访问攻击者想要的敏感数据 ，包括配置文件、日志、源代码等，甚至可以设置网站所在服务器导致其不能正常工作，网站瘫痪。因此在一般情况下，我们会禁止访问者拥有目录浏览权限，下图为关闭目录浏览权限后再次尝试目录遍历攻击的结果： 图5 禁止目录浏览权限后的攻击结果