IIS(網際網路資訊服務)是Microsoft開發的一套網頁伺服器軟體,專門用於Windows作業系統,包括:網頁配置(Web)、檔案傳輸(FTP)、電子郵件(SMTP)、網路新聞(NNTP)等部署與管理。如果沒有特別留意或是管理疏失,都可能給攻擊者利用的機會,例如:使用IIS過舊版本、開啟不需使用的port、安全性設定等等。
什麼是IIS?
IIS(Internet Information Services),是Microsoft開發的一套網頁伺服器軟體,專門用於Windows作業系統。它是一個強大的網站和Web應用程式伺服器,可用於搭建、配置和管理Web服務。IIS的功能不僅僅限於提供網頁內容,還包括FTP(檔案傳輸協議)、SMTP(簡單郵件傳輸協議)、NNTP(網路新聞傳輸協議)等,為用戶提供多種網路服務。然而,IIS的強大功能也伴隨著一些資安風險,這些風險通常與伺服器的設定有關,如果不小心設置錯誤,可能會使伺服器容易受到攻擊。
⚠️特別注意的IIS設定和相關風險:
1. 目錄瀏覽
風險: 預設情況下,IIS可能允許目錄瀏覽,表示未經設置的情況下,用戶可以查看網站目錄中的文件列表。
防範措施: 請確保禁用目錄瀏覽,以防止用戶查看目錄列表。
2. 預設文件
風險: 如果未正確設置預設文件,攻擊者可能可查看伺服器上的文件結構。
防範措施: 確保設定正確的預設文件,以確保訪問網站時正確顯示主頁或首頁。
3. 目錄遍歷攻擊(Directory Traversal Attack)
風險: 未防止Directory Traversal Attack可能允許攻擊者訪問伺服器上的敏感文件。
防範措施: 確保IIS伺服器不允許相對路徑訪問,以防止目錄遍歷攻擊。
4. HTTP方法(需特別注意)
風險: 未正確管理HTTP方法的使用可能導致不必要的安全風險。例如:允許不安全的HTTP方法可能使伺服器易受攻擊。
防範措施: 管理支援的HTTP方法,只允許必要的方法,並禁用不必要的HTTP方法。
5. SSL/TLS設定
風險: 不正確的SSL/TLS設定可能導致安全漏洞,使資料易受攻擊。
防範措施: 使用強大的加密演算法和最新的協議版本,確保SSL/TLS設定是安全的。
6. 身份驗證和授權
風險: 不安全的身份驗證和授權配置可能允許未經授權的用戶訪問敏感資源。
防範措施: 適當配置身份驗證和授權,確保僅授權用戶能夠訪問敏感資源。
7.未更新軟體版本
風險:不安全版本的IIS版本或未修補的安全性漏洞可能導致伺服器易受攻擊。
防範措施:有新版本釋出時,請盡速更新版本。
WebDAV(Web-Based Distributed Authoring and Versioning)是一種可與遠端主機進行檔案或資料交換的標準,擁有權限的使用者可透過網路存取遠端目標網站的WebDAV資料夾內的檔案。
該漏洞主要是Microsoft IIS(Internet Information Services)6.0的WebDAV服務中,httpext.dll動態連結函式庫之ScStorageFromUrl函式存在緩衝區溢位漏洞,讓遠端攻擊者可透過發送特製的的PROPFIND請求封包,導致可執行任意程式碼或造成阻斷服務。
微軟發布HTTP.sys可能會允許遠端執行程式碼之資訊安全更新,HTTP.sys為處理HTTP要求的核心模式趨動程式,允許遠端使用者利用Request Header未檢查Range參數範圍漏洞,進行攻擊行為;成功利用這個資訊安全風險的攻擊者,能以系統帳戶權限層級執行任意程式碼或阻斷服務攻擊(DoS)。
描述:A vulnerability exists in IIS when WebDAV improperly handles objects in memory, which could allow an attacker to run arbitrary code on the user’s system. An attacker who successfully exploited this vulnerability could gain the same user rights as the current user.
⚠️此類漏洞可能可被攻擊者執行任意程式碼或造成阻斷服務⚠️
描述:A remote code execution vulnerability exists in the HTTP protocol stack (HTTP.sys) that is caused when HTTP.sys improperly parses specially crafted HTTP requests. An attacker who successfully exploited this vulnerability could execute arbitrary code in the context of the System account.
⚠️此類漏洞可能可被執行任意程式碼或阻斷服務攻擊(DoS)⚠️