iis – ASP.NET网站文件被黑了……怎么样？

发布时间：2020-12-15 22:34:32 所属栏目：asp.Net 来源：网络整理

导读：我昨天在Chrome中打开了我们的一个webapps,它抛出了大红色“警告这个网站包含来自URL的内容很糟糕”.我仔细检查了我输入的网址,并立即查看了源代码并搜索了该文件.果然,在底部是一个带有编码网址的脚本标记,解码后是Chrome发现的有问题的网址. 我很好奇这是

我昨天在Chrome中打开了我们的一个webapps,它抛出了大红色“警告这个网站包含来自URL的内容很糟糕”.我仔细检查了我输入的网址,并立即查看了源代码并搜索了该文件.果然,在底部是一个带有编码网址的脚本标记,解码后是Chrome发现的有问题的网址.

我很好奇这是如何完成的以及我将来如何避免它.我采取的步骤如下,但不确定它们是否是解决方案.

我查看了IIS,发现该站点允许IUSR_ComputerName和IIS_WPG用户对整个webroot进行写访问,这最初用于编写上载和日志文件.我将此限制在需要写入的特定区域,并且仅限于IIS_WPG.

提前致谢.

这是一个开始. IUSR_ComputerName是默认情况下IIS用于匿名用户权限的内容.这意味着他们将能够进行匿名HTTP PUT,覆盖任何文件.

IIS_WPG是用于运行应用程序池的权限的组.我理解它的方式,提高.NET用户对某些目录的权限应该足够了. IUSR_ComputerName应该只需要读取权限.

您要使用的应用程序池是什么？如果您运行多个站点,则创建特定用户帐户将提供一些额外的安全性,而不是向IIS_WPG组授予权限.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!