j0057 4 +357

摘要： 我们在建站的时候，通常有些目录必须给写入权限，这个时候这些目录就很可能被人写入脚本文件，为了将安全性维护得更好，我们可以关闭这些有写入权限的目录的脚本执行权限。IIS6的时候，我们很容易找到关闭的地方，而IIS7时代，由于架构的变化，很多人找不到，这里我就给大家稍微说明一下怎么关闭特定网站目录的脚本执行权限。第一步呢，我们在IIS的左侧选中该目录，切换到功能视图第二步呢，打开“处理程序映射”功能第三步呢，打开右侧的“编辑功能权限”，将“脚本”这一项取消掉即可 阅读全文

摘要： 安全性检查工具1 CAT.NET2 AppScan一 SQL注入攻击(SQL Injection)问题1：用字符串连接组合SQL命令的方式；修复方法：使用参数化查询或者使用存储过程；但是如果使用了存储过程，也要避免在存储过程中使用字符串连接组合SQL命令的方式，l动态拼接sql语句，使用exce方式执行；修改通用分页存储过程；问题2：数据库访问权限过大；修复方法：去除sa权限，每一个数据库设置一个数据库专用用户；不开发权力过大的功能，如xp_cmdshell；不要使用集成登录方式；Web.config数据库连接字符串，使用加密方式存储；问题3：未限制输入的字符数解决办法：除了在客户端限制输入字 阅读全文

摘要： 昨天在IIS7.5中添加配置404页面时遇到了一些问题，记录如下：一开始在<customError>下的<error>节点配置404不起作用，由于程序运行在IIS7.5集成模式下，经过MSDN和GOOGLE，发现需要在<system.webServer>节点中配置，我们知道<system.web>节点是iis7.0之前版本的主要配置节点，由于在II7.0以后IIS管道处理与ASP.NET管道处理进行了集成，这样提高了ASP.NET的处理性能，具体这方面的资料请GOOGLE，问题随之而来，新增加的<system.webServer>节点 阅读全文

摘要： IS7.5中(仅win7,win2008 SP2,win2008 R2支持)，应用程序池的运行帐号，除了指定为LocalService,LocalSystem,NetWorkService这三种基本类型外，还新增了一种ApplicationPoolIdentifywin7的官方帮助上是这么说的:ApplicationPoolIdentity – 默认情况下，选择“应用程序池标识”帐户。启动应用程序池时动态创建“应用程序池标识”帐户，因此，此帐户对于您的应用程序来说是最安全的。也就是说"ApplicationPoolIdentity"帐号是系统动态创建的“虚拟”帐号(说它是虚 阅读全文