1. 緩沖區(qū)的溢出 

　　簡單解釋一下，緩沖區(qū)溢出主要是因為提交的數(shù)據(jù)長度超出了的服務(wù)器的接受度，從而導(dǎo)致服務(wù)器檢查代碼出現(xiàn)錯誤。而溢出可以分為基于堆棧的溢出和基于堆的溢出。在IIS 6以前的版本，Web服務(wù)是運行在LocalSystem賬戶下，如果某個黑客利用緩沖區(qū)溢出的漏洞入侵后，就可以執(zhí)行大部分的管理員命令了。

　　利用緩沖區(qū)溢出漏洞比較名的病毒是“Redcode”和“Nimda”。eEye Digital Security 公司在1996年發(fā)現(xiàn)了這類漏洞的代表作HTR緩沖區(qū)漏洞。eEye還發(fā)現(xiàn)，IIS的抵抗力十分脆弱。如果攻擊傳送到IIS，那么輸入值就是可以執(zhí)行的系統(tǒng)命令。HTR文件的解釋程序是將一個以.htr結(jié)尾的超長文件在ism.dll中造成輸入緩沖區(qū)溢出。

　　說明：根據(jù)上文的說明我們知道一個漏洞的根源就是.htr文件和System32目錄下的ism.dll有關(guān)系，如果將ism.dll和.htr文件之間存在的關(guān)系切開，或者刪除ism.dll，問題就可以解決了。

　　2. Unicode

想知道什么是Unicode二次解碼漏洞?打開IE，選擇“查看→編碼→Unicode(UTF-8)”，在沒有Unicode之前，沒有一個編碼可以容納數(shù)百種的數(shù)字編碼。比如我們要在你的簡體中文版的Windows 系統(tǒng)上看一個繁體中文(BIG5)的網(wǎng)頁，就需要Unicode的支持。

　　如果非法用戶提交一些特殊的編碼，導(dǎo)致IIS錯誤地打開或者錯誤地執(zhí)行某些Web根目錄以外的文件，將會出現(xiàn)未經(jīng)授權(quán)的用戶可以利用 IUSR_machinename賬號訪問用戶目錄的任何文件的情況。同時，這個賬號在默認(rèn)情況下屬于Everyone和Users 組，Windows 2000 Server默認(rèn)的安全權(quán)限是“Everyone完全控制”，因此所有可以訪問的文件都可能被刪除、修改或執(zhí)行。

　　說明：可以嘗試限制網(wǎng)絡(luò)用戶的訪問和調(diào)用CMD命令的權(quán)限;若沒必要使用scripts和Msadc目錄，可以將其重新命名或者刪除;在安裝Windows NT系統(tǒng)時盡量不使用默認(rèn)的WINNT路徑。

　　3. FrontPage 服務(wù)器的擴展漏洞

　　安裝FrontPage服務(wù)器的網(wǎng)站，通常會在Web目錄下有若干個以字母“_vti”開頭的目錄，這些目錄就是黑客的快捷通道。我們可以從搜索引擎上搜索默認(rèn)的Frontpage目錄，這時我們能從引擎上返回大量的信息。

　　說明：如果你不需要FrontPage 服務(wù)器的擴展服務(wù)，直接卸載了吧，默認(rèn)安裝會為我們帶來很多的隱患。

IIS安全加固策略建議

　　網(wǎng)站源代碼不會完全一樣，程序員也不會為你提供一種類型的代碼，所以下面的加固列表操作只供參考，在加固之前可以和程序的提供商取得聯(lián)系，雙方確認(rèn)后，才可以修改本文中涉及到服務(wù)器擴展內(nèi)容。

　　1. 調(diào)整IIS日志

　　想確定服務(wù)器是否被攻擊，日志的記錄是極其重要的。默認(rèn)的日志不會為我們搜索黑客記錄提供很大的幫助，所以我們必須擴展 W3C日志記錄格式，步驟如下：

　　★右鍵單擊所述站點，然后從上菜單中選擇啟用“屬性→Web 站點→啟用日志記錄”復(fù)選框。

　　★更改日志的默認(rèn)路徑，黑客成功入侵一個系統(tǒng)后，還會清除日志，如果啟用默認(rèn)路徑，我們將無法保護日志。不過，現(xiàn)在比較流行的日志清除工具，大多以命令行方式刪除默認(rèn)的W3C日志記錄，所以可以將默認(rèn)路徑改寫，達到簡單保護的功能。

　　★從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。單擊“屬性→擴展屬性”選項卡，然后添加以下信息的記錄：客戶IP 地址、用戶名、方法、URI 資源、HTTP 狀態(tài)、Win32 狀態(tài)、用戶代理、服務(wù)器 IP 地址、服務(wù)器端口。

　　日志記錄是我們被入侵后唯一可以找到漏洞的地方。就比如有些人鐘愛的“動網(wǎng)上傳文件”漏洞，如果你能在日志當(dāng)中發(fā)現(xiàn)“HTTP GET 200(文件上傳成功)”，沒什么可以辯解的，肯定是沒有升級補丁或者開放了上傳權(quán)限。

　　2. 刪除IIS的默認(rèn)示例

　　Windows 2000和Windows Server 2003在安裝時都會保留默認(rèn)示例，它們不會為服務(wù)器帶來威脅。為了優(yōu)化系統(tǒng)的功能，可以選擇刪除它們，屆時需要關(guān)閉IIS服務(wù)。

　　3. 刪除不必要擴展映射

　　IIS 5被預(yù)先配置為支持如.asp這樣的動態(tài)程序文件，當(dāng)IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理，可以避免接收本文中提到的可能造成緩沖區(qū)溢出的文件類型。

　　選擇“WWW服務(wù)→編輯→主目錄→應(yīng)用程序配置”，參照下表有針對性的選擇刪除對象：

　　IIS 6 的全新奉獻

　　我們常在網(wǎng)上看到關(guān)于Windows Server 2003 已經(jīng)非常安全的報道，但是我們的管理員不是每天做個補丁更新的工作嗎?其實，Windows Server 2003中給我?guī)�來最直接的感覺就是IIS 6的安全性，直到現(xiàn)在為止我也沒有發(fā)現(xiàn)IIS 6中有什么重大的漏洞。

　　工作進程隔離(Worker Process Isolation)以及URL的授權(quán)訪問，我在以前版本里面根本就沒有奢念。不僅如此，最主要的改進就是IIS本身的“默認(rèn)可用性”和“默認(rèn)鎖定擴展服務(wù)” 。

　　注意，當(dāng)把服務(wù)器升級到Windows Server 2003的時候，如果你沒有運行IISLockdown工具，服務(wù)器是會禁止我們提供Web服務(wù)。

關(guān)鍵字：服務(wù)器、IIS、Web、網(wǎng)絡(luò)、漏洞、緩沖區(qū)、黑客