Web应用安全：IIS禁止目录列出配置.docx

IIS禁止目录列出配置 摘 要：通过本节介绍，让学生了解如何配置IIS目录浏览权限。 关键词：IIS；目录 一、目录遍历攻击 1、基础信息 目录遍历(路径遍历)是由于Web服务器或者Web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件(可以是Web根目录以外的文件)，甚至执行系统命令。该漏洞常常出现在文件读取或者展示图片等对文件读取交互的功能块。 二、IIS目录浏览权限 1、Windows server 2016中的IIS服务器搭建 在windows server 2016中，可以在“服务器管理器”中的“添加角色和功能”中安装IIS组件。 图1 服务管理器 在接下来弹出的界面中，可以选择安装的服务，可以根据自己的需要安装，在角色服务这一栏中，可以选择全部安装，避免以后缺少某种服务而反回来重新安装的情况。 图2 IIS安装过程 2、IIS网站目录 在“IIS管理器”中，我们可以找到“目录浏览”选项，通过是否启用该选项，我们便可以选择是否开启目录浏览权限。 图3 目录浏览权限设置 3、目录列出