ASP.NET專題實務(I),博碩出版
** IIS 與 檔案上傳 (FileUpload)的安全設定 **
18–13–1 要求篩選(Request Filtering)
新版本IIS都提供了「要求篩選(Request Filtering)」的功能。但需要您手動安裝、增加這功能到IIS裡面。您的作業系統必須具備IIS才能安裝,例如Win10專業版或Windows Server。
18–13–2 限制執行
檔案上傳也可能是網站的一個大漏洞,如果有人把病毒或是木馬程式上傳並執行,那就糟了。有三個建議:
第一,除了前面說過最基本的「副檔名」檢驗以外,建議您也限制上傳目錄的權限,讓它只能讀寫卻無法執行。
第二,以下圖為例,針對「網站底下的子目錄」做設定,例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「執行」的權限,以免有人上傳木馬程式或病毒後去執行它。當然,做了IIS任何設定以後,您最好重新測試一遍,以免影響到其他功能。
第三,Web Server也得安裝防毒軟體。如果真的被上傳病毒或是木馬程式,也能被檢查出來。大部分的防毒軟體,當對方上傳以後,通常會有即時掃描的功能。但仍建議每天在離峰時段進行全機掃描
在IIS 7.x版(Windows Server 2008)起有另一個設定「處理常式對應(Handle Mapping)」(如下圖,畫面上不太好找)。
針對「網站底下的子目錄」做設定,例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「指令碼」\「執行」的權限,務必留白(如下圖,不打勾)。做了IIS任何設定以後,建議重新啟動網站服務並重新測試一遍,以免影響到其他功能。
以上來自 — ASP.NET 專題實務 (I) / 博碩出版