以前安裝winwebmail,通常大家都是參照官方的說明,給winwebmail目錄users組甚至是everyone可寫許可權。這樣設定基本就能滿足winwebmail的執行了。但是對於一些伺服器上同時存在有其他asp或者asp.net站點,比如做虛擬主機的服務商。這樣設定很容易在另外一些站點被黑後,受到跨站攻擊的牽連。
好一點的就將winwebmail的安裝目錄改的很複雜來躲避黑客的跨站攻擊。
就這一點來講,我覺得winwebmail官方對於目錄許可權的設定其實說的太過簡單,有點不負責任的感覺。
下午我仔細分析了winwebmail的目錄安全設定。即使按照一些特殊處理過能夠防止asp跨站攻擊的設定,其實依然很容易被人asp.net跨站攻擊 。實際上經過測試,我沒有花太多工夫就跑進了一位協助測試的同志伺服器的winwebmail目錄。並且可以隨意修改裡面的東西了。
下面講下具體草作流程,
1、安裝完winwebmail,基本的東西不詳細說了。
2、新建立乙個user,屬於guests組,如:mail_vistor。(*注:如果使用iis自帶的iusr_***來賓使用者,中用的是預設使用者。那麼這一步可以省略)。
3、新建立乙個user,屬於iis_wpg組,如:mail_user。
4、開啟iis,新建立乙個程序池,命名, 如:mail_process。啟動許可權使用者設定為:mail_user
5、開啟iis,新建立乙個站點,指定主文件目錄為winwebmail目錄下web目錄。並指定程序池為mail_process.
在目錄安全性,裡編輯匿名訪問使用者為:mail_vistor(或者預設為iusr_***,二個使用者選一即可,中用的是預設iis使用者)。
6、給安裝winwebmail的碟符根目錄比如:e盤,管理員和mail_vistor(或iusr_***)唯讀許可權。
7、給winwebmail目錄iis_wpg組、mail_vistor以及管理員三者可讀寫許可權。
新增network service和aspnet
兩個使用者,許可權設定為拒絕訪問。
新增執行其他執行asp**的使用者組為拒絕許可權,我這裡其他所有asp**都是在hostgroup使用者組裡的使用者的許可權來分別驗證的的,我直接將整個組新增許可權為:拒絕訪問。(通其他asp的防止跨站的許可權設計,我就簡單帶過。)
winwebmail目錄下各使用者的許可權為:
winwebmail下的web目錄許可權最終是:
8、重新啟動iis及winwebmail服務,即可。
這樣草作後已經大體封鎖了來自除了郵件web程式以外的其他asp,asp.net的程式攻擊了。目前我測試各方面正常。具體防止web目錄程式攻擊winwebmail的詳細設定,就各人喜歡再繼續深入設定,我就不具體講了。
結束:如果你不是很了解許可權的設定,你還可以簡單的這樣草作,將winwebmail安裝到乙個不容易猜解的目錄裡,比如:e:xx73c3da
這種名字的目錄。然後備份c:windows目錄下weminstall.log這個檔案並刪除。(備份的作用,我是怕以後公升級winwebmail需要使用這個log檔案。具體是否需要沒有測試過。我就是通過這個檔案找出了測試伺服器的具體安裝位置的。),但為了避免其他地方可能還暴露出安裝位置,建議你還是按照我的教程進行設定一下吧。
hadoop安全機制Kerberos詳細介紹
系統,它避免了將密碼 包括密碼hash 在網上傳輸,而是將密碼作為對稱加密的金鑰,通過能不能解密來驗證使用者的身份 2 kerberos在驗證完使用者身份後會發給使用者ticket,這個ticket包含了使用者的授權,使用者拿著這個ticket去享受各種服務,所以在kerberos管理的範圍內使用者...
php安全模式詳細介紹
php安全模式 safe mode on off 啟用safe mode指令將對在共享環境中使用php時可能有危險的語言特性有所限制。可以將safe mode是指為布林值on來啟用,或者設定為 off禁用。它會比較執行指令碼uid 使用者id 和指令碼嘗試訪問的檔案的uid,以此作為限制機制的基礎。...
史上最詳細前端安全
前端不需要過硬的網路安全方面的知識,但是能夠了解大多數的網路安全,並且可以進行簡單的防禦前兩三個是需要的 介紹一下常見的安全問題,解決方式,和小的demo,希望大家喜歡 在我看來,前端可以了解並且防禦前4個就可以了 小聲逼逼 大佬當我沒說 cross site scripting 又叫做跨站指令碼攻...