ASP.NET -IIS與檔案上傳的安全設定

閱讀時間約 1 分鐘
ASP.NET專題實務(I),博碩出版
** IIS 與 檔案上傳 (FileUpload)的安全設定 **
18–13–1 要求篩選(Request Filtering)
新版本IIS都提供了「要求篩選(Request Filtering)」的功能。但需要您手動安裝、增加這功能到IIS裡面。您的作業系統必須具備IIS才能安裝,例如Win10專業版或Windows Server。
18–13–2 限制執行
檔案上傳也可能是網站的一個大漏洞,如果有人把病毒或是木馬程式上傳並執行,那就糟了。有三個建議:
第一,除了前面說過最基本的「副檔名」檢驗以外,建議您也限制上傳目錄的權限,讓它只能讀寫卻無法執行。
第二,以下圖為例,針對「網站底下的子目錄」做設定,例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「執行」的權限,以免有人上傳木馬程式或病毒後去執行它。當然,做了IIS任何設定以後,您最好重新測試一遍,以免影響到其他功能。
第三,Web Server也得安裝防毒軟體。如果真的被上傳病毒或是木馬程式,也能被檢查出來。大部分的防毒軟體,當對方上傳以後,通常會有即時掃描的功能。但仍建議每天在離峰時段進行全機掃描
在IIS 7.x版(Windows Server 2008)起有另一個設定「處理常式對應(Handle Mapping)」(如下圖,畫面上不太好找)。
針對「網站底下的子目錄」做設定,例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「指令碼」\「執行」的權限,務必留白(如下圖,不打勾)。做了IIS任何設定以後,建議重新啟動網站服務並重新測試一遍,以免影響到其他功能。
以上來自 — ASP.NET 專題實務 (I) / 博碩出版
為什麼會看到廣告
    avatar-img
    4會員
    120內容數
    留言0
    查看全部
    avatar-img
    發表第一個留言支持創作者!
    兩千MIS的沙龍 的其他內容
    VS 2017 不支援 .NET Standard 2.1 或 .NET Core 3.0。 資料來源 https://docs.microsoft.com/zh-tw/dotnet/core/whats-new/dotnet-core-3-0 引述文章中這一段 —
    ASP.NET MVC 線上相簿 (PhotoSharing) — 線上教學影片 https://9vs1.com/go/?i=4db77e0bf891 單獨購買本課程,優惠折扣 4BbKKha 只要五五折! https://9vs1.com/go/?i=4db77e0bf891 課程適合對象
    有讀者安裝 VS2019 / VS2022以後,執行 VB範例(ASP.NET Web Form)均會出現錯誤訊息 例如:剖析器錯誤 或 出現一個蹦現視窗,寫著 “建置專案時發生錯誤……” 或 “找不到資源” 或 出現 Global.asxa有錯(如下面這一段)….等等 有兩種解法,
    ASP.NET (WebForm) 防範 CSRF攻擊 ASP.NET (Web Form) 防範 CSRF攻擊 關鍵字 AntiForgery Token / cross-site request forgery (CSRF攻擊) 下面的影片,是寫在 Page_Init事件中。 (簡體中文)
    [ASP.NET 1080p] 將網站(WebSite)或專案(Project)部屬到IIS裡面 IIS 10 (Win10) 步驟非常簡單,預設值就能執行。 ASP.NET初學者在學習ASP.NET &程式「之前」……不必為此傷腦筋,先學好程式、做出程式成果以後,再來煩惱這件事。
    微軟的範例,新增 (Create)有搭配檔案上傳 但沒有提供編輯 (Edit) 的功能 其實,以微軟提供的範例來說,這些功能都有了 “拼湊”都能做到您想要的功能。 ============================== 因為微軟改為ASP.NET Core版的MVC 課程適合對象
    VS 2017 不支援 .NET Standard 2.1 或 .NET Core 3.0。 資料來源 https://docs.microsoft.com/zh-tw/dotnet/core/whats-new/dotnet-core-3-0 引述文章中這一段 —
    ASP.NET MVC 線上相簿 (PhotoSharing) — 線上教學影片 https://9vs1.com/go/?i=4db77e0bf891 單獨購買本課程,優惠折扣 4BbKKha 只要五五折! https://9vs1.com/go/?i=4db77e0bf891 課程適合對象
    有讀者安裝 VS2019 / VS2022以後,執行 VB範例(ASP.NET Web Form)均會出現錯誤訊息 例如:剖析器錯誤 或 出現一個蹦現視窗,寫著 “建置專案時發生錯誤……” 或 “找不到資源” 或 出現 Global.asxa有錯(如下面這一段)….等等 有兩種解法,
    ASP.NET (WebForm) 防範 CSRF攻擊 ASP.NET (Web Form) 防範 CSRF攻擊 關鍵字 AntiForgery Token / cross-site request forgery (CSRF攻擊) 下面的影片,是寫在 Page_Init事件中。 (簡體中文)
    [ASP.NET 1080p] 將網站(WebSite)或專案(Project)部屬到IIS裡面 IIS 10 (Win10) 步驟非常簡單,預設值就能執行。 ASP.NET初學者在學習ASP.NET &程式「之前」……不必為此傷腦筋,先學好程式、做出程式成果以後,再來煩惱這件事。
    微軟的範例,新增 (Create)有搭配檔案上傳 但沒有提供編輯 (Edit) 的功能 其實,以微軟提供的範例來說,這些功能都有了 “拼湊”都能做到您想要的功能。 ============================== 因為微軟改為ASP.NET Core版的MVC 課程適合對象
    你可能也想看
    Google News 追蹤
    Thumbnail
    這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
    Thumbnail
    11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
    Thumbnail
    Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液
    Thumbnail
    這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
    Thumbnail
    11/20日NVDA即將公布最新一期的財報, 今天Sell Side的分析師, 開始調高目標價, 市場的股價也開始反應, 未來一週NVDA將重新回到美股市場的焦點, 今天我們要分析NVDA Sell Side怎麼看待這次NVDA的財報預測, 以及實際上Buy Side的倉位及操作, 從
    Thumbnail
    Hi 大家好,我是Ethan😊 相近大家都知道保濕是皮膚保養中最基本,也是最重要的一步。無論是在畫室裡長時間對著畫布,還是在旅途中面對各種氣候變化,保持皮膚的水分平衡對我來說至關重要。保濕化妝水不僅能迅速為皮膚補水,還能提升後續保養品的吸收效率。 曾經,我的保養程序簡單到只包括清潔和隨意上乳液