IIS的安全隐患之我见(安全动态)

公司介绍

员工心声

招聘信息

服务范围

IIS的安全隐患之我见 (MS,缺陷)

涉及程序：

Microsoft NT Information Server

描述：

IIS和NT数据库最大的安全隐患是什么？

详细：

我们知道，运行ASP程序的NT Server，在ASP程序根目录下必然存在一个叫global.asa的文件，ASP程序的各种初始化配置和数据库密码等关键信息一般都放在这个文件里面。（一般来说，ASP程序员的数据库密码不是放在global.asa中就是在每个ASP文件中）。这种密码以明文的方式储存在文件中的做法，我们认为这是IIS server最大的安全隐患之一。
输入: http://www.xxx.com/global.asa ，结果会出现:
HTTP/1.1 不允许请求 GLOBAL.ASA
虽然如此，但是由于该文件是文本文件，而已知的利用NT的错误配置和ASP bug等方法查看web目录下的文本文件的方法有很多种。系统管理员必须相信，这些漏洞可以绕过IIS的安全访问机制，如果不将这些已知漏洞给补上，整个数据库就没有安全性可言。
就算这些都已经被补上，谁也不敢断定不会出现新的ASP源码暴露的漏洞。
这种不安全的特性是ASP这种解释性程序的先天缺陷，当然这掩盖不了ASP使用方便的优点。

解决方案：

用复杂的算法对数据库帐号和密码进行加密