黑客的攻与防

前几天在淘宝上瞎逛的时候,发现了一个卖虚拟主机的。卖的是美国主机,价格是相当的便宜啊,印象中1000M的不限iis大概是15块季付,年付就更便宜了。其实我有一个跟同学一起买的国外空间,还不限大小,不限站点数量,只不过是linux的,不能跑asp。反正这么便宜,砸手里也没什么呀。

嘿,这空间一买回来,aspx往上面一传,发现cmd可以执行,C盘可以直接看。接着我就开始大胆的传提取工具了,PR上去,直接就用户加好了....!算算总时间也就5分钟多点,10分钟肯定不到。

就这样的主机,还拿出来卖空间,还不给人日烂了...

记得以前高中的时候,看过服务器权限设置的东西。不过那时没在意这些。现在我发现,这些真的是很重要。有些服务器权限设置得BT,补丁经常打,就算没有什么防火墙杀毒软件也没什么问题。根本就日不进去,让写的地方不让执行,让执行的地方不让写。

正好手头有一台vps,刚好可以用来学习一下权限设置的东西。

然后网上搜索怎么设权限啊什么的,然后就照着做....单还是发现了很多问题:比如说 temp目录,很多文章都说的是要给完全控制权限.回想以前提权的时候,也经常找这个目录,cmd传到这里可能也可以执行...这样不就给黑客留下机会了吗?

还有好几个目录,也是给了写权限,又给了执行权限,...

不过我现在对这个权限问题还是不知其所以然..执行iis的是什么用户,执行asp的时候用哪个用户的令牌,然后又aspx又有什么不同,真的很想搞清楚..我想只有知道了这些,才能自己去设置目录的权限,而不用被这些网络上转烂掉的文章所误导...


文章来自: 本站原创
Tags:
评论: 0 | 查看次数: 5913