защита сайта...

ktv2003
Дата: 10.09.2004 13:03:21
Тема все таже..
Запустил на IIS сайт.. Написан не мною, так что за дырки вскриптах я не отвечаю, просто опка что пытаюсь сделать все от меня зависящее (хотя это не моя спецуха и обязанности, но как обычно начальство заставляет), чтобы товарищи взлощики в этот раз так быстро не сломали..
Всвязи с этим вопросы:
1. Заходит чел на сайт. Под какой учеткой идет коннект??? типа если чел будет ломать через скрипты, то какие права при этом будет иметь? слышал, что , к примеру, можно застваить запросом код сайта полезть куда не надо и выслать тебе, например, файл паролей.. Вот от подобных ситуаций по идее можно защититься, ограничив права учетки на просмотр кое-каких папочек системных, к примеру. Токо знать бы какой учетки эти права ограничивать.. (той, что iis-> веб узлы - свойства - безопасность катклога - управление доступом и проверка подлинности?? )
2. Если к примеру будут ломать через порт IIS. То в этом случае, что?? Запрос какой-то будет проходить под правами процесса(службы) IIS?? Тогда под какими праваи этот процесс вертится?? Под текущей учеткой сервера??? Надо ли тогда сенаситься под ограниченным юзером, а не под админом и под ним висеть...?????
Какие соображения, а??
Yanis
Дата: 10.09.2004 13:39:30
1. Internet services manager -> site properties -> Directory security -> Edit -> там указывается юзер для анонимного доступа
2. Скачай какой-нить сканер безопасности, например XSpider и просканируй свой хост СНАРУЖИ, увидишь известные уязвимости...