IIS6.0+ASP.NET站点安全问题加固

最新推荐文章于 2021-12-16 16:31:53 发布

转载最新推荐文章于 2021-12-16 16:31:53 发布 · 215 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：https://my.oschina.net/janl/blog/1609235

本文探讨了提高Web应用程序安全性的多种方法，包括设置cookie的HttpOnly属性以防止跨站脚本攻击，使用X-Frame-Options阻止点击劫持，禁用表单自动完成以避免密码泄露风险，以及通过配置URLSCAN来限制HTTP请求方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

为什么80%的码农都做不了架构师？>>>

检测到会话cookie中缺少HttpOnly属性

在写cookie的时候，将HttpOnly的值赋值为True

点击劫持：X-Frame-Options未配置

在IIS站点—》属性—》HTTP 头标签中添加自定义头

X-Frame-Options：SAMEORIGIN

参考资料：http://www.jb51.net/article/109436.htm

检测到目标web应用表单密码类型输入启用了自动完成操作

检测到目标服务器启用了OPTIONS方法

下载安装URLSCAN 配置说明请参阅：https://www.2cto.com/article/201209/157201.html 安装对应版本的urlscan后，安装目录在C:\WINDOWS\system32\inetsrv\urlscan\Urlscan.ini文件中。

[options]

UseAllowVerbs=1                ; If 1, use [AllowVerbs] section, else use the
                               ; [DenyVerbs] section.   The default is 1.

转载于:https://my.oschina.net/janl/blog/1609235

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34126215

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

IIS服务器安全加固 - Windows

EcmShell的博客

09-29

228

移除不需要的模块和功能可以减少攻击面。上述示例中，我们限制了最大允许的内容长度、禁止了特定文件扩展名（例如.exe和.dll），以及隐藏了特定URL段（例如HiddenFolder）。上述示例中，我们限制了最大允许的内容长度、禁止了特定文件扩展名（例如.exe和.dll），以及隐藏了特定URL段（例如HiddenFolder）。IIS服务器的账户密码应该采用强密码策略，包括密码长度、复杂性要求和密码过期策略等。IIS服务器的账户密码应该采用强密码策略，包括密码长度、复杂性要求和密码过期策略等。

分享一下修复项目漏洞步骤

IT_master8888的博客

02-06

3858

项目漏洞修复步骤： Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞 <shiro.version>1.6.0</shiro.version> 检测到目标站点存在javascript框架库漏洞 jquery-3.5.1.js 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击设置Tomcat / server.xml文件 connectiontimeout 值，默认为20000ms，修改为8000ms(Tomcat 自身安全漏洞) A...

参与评论您还未登录，请先登录后发表或查看评论

IIS6加固手册

12-05

IIS6.0的加固手册，本文档适用于IIS6服务安全加固时参考

asp.net 网站防攻击安全

godpreserve的专栏

04-01

1182

asp.net 网站防攻击安全

IIS服务器的安全保护措施

weixin_33790053的博客

03-04

850

　　转载自：https://www.williamlong.info/archives/118.html部分内容做了修改。　　　　通过标注Web服务器安全级别以及可用性的安全策略，网络管理员将能够从容地在不同的操作系统上部署各种软件工具。　　IIS安全技巧　　微软的产品一向是众矢之的，因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后，网络管理员必须准备执行大量的安全措施。我...

CVE-2017-7269 IIS6.0远程代码执行漏洞复现利用及加固

热门推荐

正在成为 code ape

06-30

9万+

一、漏洞描述 IIS 6.0的WebDAV 有毛病二、影响版本以及利用条件 Windows 2003 R2开启WebDAV服务的IIS6.0 三、漏洞环境搭建 1.Windows server 2003 R2 安装IIS服务,开启了WebDAV 2.Exp下载地址：https://github.com/zcgonvh/cve-2017-7269 3.IIS6.exe提权工具 pr.exe 4.3...

解决Ghost XP系统安装IIS 6.0问题的教程

- IIS 6.0提供了增强的可扩展性和灵活性，可以支持ASP.NET、PHP等多种开发框架。 - 具有安全加固功能，如隔离模式，能够防止应用程序的错误影响到服务器的其他部分。 - 提供了对.NET Framework的支持，允许运行...

IIS6.0完整包下载指南

安装和使用IIS6.0可能会遇到各种问题，如性能调优、故障排除、安全性加固等。这些常见的问题可以通过阅读官方文档、使用社区论坛、微软支持工具和服务来解决。 ### 总结 IIS6.0作为早期的Web服务器产品，在Web服务...

掌握IIS6.0：安装与必备知识指南

ASP.NET应用程序可以运行在应用程序池中，并从IIS6.0的安全性和性能改进中获益。 #### 6. IIS6.0的替代与未来随着时间推移，微软推出了后续版本的IIS，如IIS 7.0、IIS 7.5、IIS 8.0和IIS 8.5等，它们在IIS6.0的...

IIS6.0完整版下载及核心文件解析

- ASP.NET支持：IIS6.0提供对ASP.NET的完全支持，使其能够运行使用.NET语言编写的动态网页和应用程序。 - ISAPI过滤器和扩展：允许开发者使用自定义代码来扩展IIS的功能，如压缩、身份验证和缓存控制等。 - WebDAV...

整合版IIS6.0安装文件分享

3. **安全性加固**：通过配置防火墙、设置加密、修改默认设置等手段提升IIS 6.0的安全性。 ### 与IIS 6.0相关的文件操作在本给定文件的描述中提到了“自己装6.0整合的文件”，这通常意味着用户为了便于安装和配置...

IIS6安全补丁包64位

05-09

64位分别有WindowsServer2003-KB942831-x64-CHS、windowsserver2003-kb955759-x64-enu、WindowsServer2003-KB973917-v2-x64-CHS、WindowsServer2003-KB975254-x64-CHS、WindowsServer2003-KB982666-x64-CHS、WindowsServer2003-KB2124261-x64-CHS、WindowsServer2003-KB2981580-x64-CHS、Win2003.WindowsXP-KB975254-x64-CHS。

IIS安全加固手册

告白的博客

12-16

6839

0x00 IIS介绍由于不同的 Windows 版本，iis日志路径不一样，所以分别介绍如下： Windows Server 2003 iis6日志路径：C:\Windows\System32\LogFiles Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径：C:\inetpub\logs\LogFiles 下面是常见的HTTP状态码： 200 - 请求成功 301 - 资源（网页等）被永久转移到其它URL 404 - 请求的资源（网页等）不存在 5

输入自动完成类

johncools的博客

12-21

921

V0.1（2006-11-10）纯JS，无须再加CSS 支持键盘鼠标仅IE6+V0.2（2006-11-16）修复了多个控件的下拉不隐藏的BUG 修改下拉背景的透明问题 HTML> HEAD> TITLE>AutoCompleteTITLE> META NAME="Generator" CONTEN

获取应用服务器信息出错,第三方安全扫描报告问题处理汇总

weixin_42512613的博客

08-05

1211

IIS短文件名泄露漏洞(高危)该漏洞属于OS的IIS7.5以下版本都存在，需要安装微软的专项补丁：1、修改注册列表(可在开始中运行cmd命令，输入regedit，按回车)HKLM￥SYSTEM￥CurrentControlSet￥Control￥FileSystem￥NtfsDisable8dot3NameCreation的值为1，再重启服务器。(此修改只能禁止NTFS8.3格式文件名创建,已经存...

web安全应用表单密码类型输入启用了自动完成操作

金溪的博客

09-13

6553

描述：在web应用form表单中，如果input标签没有指定“autocomplete”属性为“off”，则“autocomplete”的属性会自动默认为on。当web应用form表单中的密码类型为input标签，autocomplete属性为on时，用户若提交了一个新的用户名和密码时，浏览器将会询问是否保存该用永久名和密码信息，如果用户选择保存，则之后在显示该web表单时，用户名和密码将会自...

【中间件安全】IIS6安全加固规范

12-24

3529

【中间件安全】IIS6安全加固规范 1. 适用情况适用于使用IIS6进行部署的Web网站。 2. 技能要求熟悉IIS配置操作，能够利用IIS进行建站，并能针对站点使用IIS进行安全加固。 3. 前置条件 1、根据站点开放端口、进程ID、确认站点采用IIS进行部署； 2、启用IIS 方法一：按Win键+R打开Windows运行，输入inetmgr,回车即可打开；方法二：开...