微软指出:IIS配置错误将引发严重威胁

日期: 2010-01-04 来源:TechTarget中国 英文

微软指出了因特网信息服务(IIS)语法扩展问题,这一问题将导致漏洞系统的出现,而这一漏洞是无法打补丁修复的,但是可以通过最佳实践来避免IIS配置错误。

  微软上周在其博客中发布了一项更新,给出了配置IIS Web服务器的最佳实践链接。安全专家上周提醒公众注意这一语法扩展漏洞,它可能会被利用来传播恶意代码并最终取得Web服务器的控制权。这一问题出现在IIS6处理URLs中的分号的过程中。

  但是微软的Christopher Budd在其公司的安全响应中心博客上指出,这一问题是种IIS配置错误并将导致系统出现漏洞。即开即用的默认配置将不会让攻击者绕过内容过滤软件来上传恶意代码到微软Web服务器上。

  Budd 写道:“这不是IIS的默认配置,这和我们发布的所有最佳实践正好相反,IIS服务以这种方式来配置将非常容易遭受到攻击。”

  Budd还补充说,在相同目录上拥有IIS“写”和“执行”权限的用户应当回顾最佳实践并采取改进措施减少发生在Web服务器上的类似威胁。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • Netgear推beta版补丁,修复路由器中重大安全漏洞

    近日,Netgear推出补丁以修复路由器中重大安全漏洞,此前,专家建议用户完全放弃使用Netgear路由器。该漏洞出现在某些Netgear路由器部署web服务器时,它允许未经验证用户注入root权限命令,本质上接管设备并可执行任意代码。

  • 提升WEB应用程序安全需要打“组合拳”(一)

    在WEB应用程序安全问题上保持前瞻性和主动性应当成为IT的头等大事。如果WEB应用程序遭受破坏,企业往往会遭受极大损失。

  • Apache安全和强化的十三个技巧(二)

    “mod_security”和“mod_evasive”是Apache在安全方面非常流行的两个模块。mod_security作为防火墙而运行,它允许我们适时地监视通信,还可以有助于我们保护网站或Web服务器免受暴力破解攻击。

  • 浅谈WAF市场中常见的检测技术

    随着电子商务、网上银行、电子政务的盛行,Web服务器所面临的安全威胁也随之增大,因此,针对Web应用层的防御成为必然趋势,WAF产品开始流行起来。