ASP.NET -IIS與檔案上傳的安全設定

閱讀時間約 1 分鐘
ASP.NET專題實務(I),博碩出版
** IIS 與 檔案上傳 (FileUpload)的安全設定 **
18–13–1 要求篩選(Request Filtering)
新版本IIS都提供了「要求篩選(Request Filtering)」的功能。但需要您手動安裝、增加這功能到IIS裡面。您的作業系統必須具備IIS才能安裝,例如Win10專業版或Windows Server。
18–13–2 限制執行
檔案上傳也可能是網站的一個大漏洞,如果有人把病毒或是木馬程式上傳並執行,那就糟了。有三個建議:
第一,除了前面說過最基本的「副檔名」檢驗以外,建議您也限制上傳目錄的權限,讓它只能讀寫卻無法執行。
第二,以下圖為例,針對「網站底下的子目錄」做設定,例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「執行」的權限,以免有人上傳木馬程式或病毒後去執行它。當然,做了IIS任何設定以後,您最好重新測試一遍,以免影響到其他功能。
第三,Web Server也得安裝防毒軟體。如果真的被上傳病毒或是木馬程式,也能被檢查出來。大部分的防毒軟體,當對方上傳以後,通常會有即時掃描的功能。但仍建議每天在離峰時段進行全機掃描
在IIS 7.x版(Windows Server 2008)起有另一個設定「處理常式對應(Handle Mapping)」(如下圖,畫面上不太好找)。
針對「網站底下的子目錄」做設定,例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「指令碼」\「執行」的權限,務必留白(如下圖,不打勾)。做了IIS任何設定以後,建議重新啟動網站服務並重新測試一遍,以免影響到其他功能。
以上來自 — ASP.NET 專題實務 (I) / 博碩出版
為什麼會看到廣告
    4會員
    120內容數
    留言0
    查看全部
    發表第一個留言支持創作者!
    兩千MIS的沙龍 的其他內容
    VS 2017 不支援 .NET Standard 2.1 或 .NET Core 3.0。 資料來源 https://docs.microsoft.com/zh-tw/dotnet/core/whats-new/dotnet-core-3-0 引述文章中這一段 —
    ASP.NET MVC 線上相簿 (PhotoSharing) — 線上教學影片 https://9vs1.com/go/?i=4db77e0bf891 單獨購買本課程,優惠折扣 4BbKKha 只要五五折! https://9vs1.com/go/?i=4db77e0bf891 課程適合對象
    有讀者安裝 VS2019 / VS2022以後,執行 VB範例(ASP.NET Web Form)均會出現錯誤訊息 例如:剖析器錯誤 或 出現一個蹦現視窗,寫著 “建置專案時發生錯誤……” 或 “找不到資源” 或 出現 Global.asxa有錯(如下面這一段)….等等 有兩種解法,
    ASP.NET (WebForm) 防範 CSRF攻擊 ASP.NET (Web Form) 防範 CSRF攻擊 關鍵字 AntiForgery Token / cross-site request forgery (CSRF攻擊) 下面的影片,是寫在 Page_Init事件中。 (簡體中文)
    [ASP.NET 1080p] 將網站(WebSite)或專案(Project)部屬到IIS裡面 IIS 10 (Win10) 步驟非常簡單,預設值就能執行。 ASP.NET初學者在學習ASP.NET &程式「之前」……不必為此傷腦筋,先學好程式、做出程式成果以後,再來煩惱這件事。
    微軟的範例,新增 (Create)有搭配檔案上傳 但沒有提供編輯 (Edit) 的功能 其實,以微軟提供的範例來說,這些功能都有了 “拼湊”都能做到您想要的功能。 ============================== 因為微軟改為ASP.NET Core版的MVC 課程適合對象
    VS 2017 不支援 .NET Standard 2.1 或 .NET Core 3.0。 資料來源 https://docs.microsoft.com/zh-tw/dotnet/core/whats-new/dotnet-core-3-0 引述文章中這一段 —
    ASP.NET MVC 線上相簿 (PhotoSharing) — 線上教學影片 https://9vs1.com/go/?i=4db77e0bf891 單獨購買本課程,優惠折扣 4BbKKha 只要五五折! https://9vs1.com/go/?i=4db77e0bf891 課程適合對象
    有讀者安裝 VS2019 / VS2022以後,執行 VB範例(ASP.NET Web Form)均會出現錯誤訊息 例如:剖析器錯誤 或 出現一個蹦現視窗,寫著 “建置專案時發生錯誤……” 或 “找不到資源” 或 出現 Global.asxa有錯(如下面這一段)….等等 有兩種解法,
    ASP.NET (WebForm) 防範 CSRF攻擊 ASP.NET (Web Form) 防範 CSRF攻擊 關鍵字 AntiForgery Token / cross-site request forgery (CSRF攻擊) 下面的影片,是寫在 Page_Init事件中。 (簡體中文)
    [ASP.NET 1080p] 將網站(WebSite)或專案(Project)部屬到IIS裡面 IIS 10 (Win10) 步驟非常簡單,預設值就能執行。 ASP.NET初學者在學習ASP.NET &程式「之前」……不必為此傷腦筋,先學好程式、做出程式成果以後,再來煩惱這件事。
    微軟的範例,新增 (Create)有搭配檔案上傳 但沒有提供編輯 (Edit) 的功能 其實,以微軟提供的範例來說,這些功能都有了 “拼湊”都能做到您想要的功能。 ============================== 因為微軟改為ASP.NET Core版的MVC 課程適合對象
    你可能也想看
    Google News 追蹤
    Thumbnail
    這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
    Thumbnail
    美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變
    Thumbnail
    這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
    Thumbnail
    美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變