[IIS] 针对aspx木马可以读取iis站点信息，跨网站目录的临时解决

web服务器发布于：2021-11-03 16:00 | 阅读数：436 | 评论：0

3329 主题	4 回帖	3335 积分

1、aspx 木马文件可以在asp.net空间中实现读取进程、iis信息、跨站、执行cmd命令。
解决方法
1、对于每个网站建立一个用户、并将用户放入guest组，给站点写入、读取的权限。并在iis上允许匿名访问。
2、

<system.web> 
<identity impersonate="true" /> 
</system.web>

将以上代码复制到C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG web.config 中
的以下地方：即可实现禁止跨站、禁止读取iis信息、禁止cmd命令执行。

</location> 
<system.web> 
<identity impersonate="true" /> 
</system.web> 
<system.net>

3、asp.net1.1 在machine.config 中搜索<identity impersonate=false 将false 改成true
代码作用：模拟匿名帐户来运行网站程序。
此法可以禁止跨目录、读取iis站点信息，禁止执行cmd。

免责声明：

1. 本站所有资源来自网络搜集或用户上传，仅作为参考不担保其准确性！

2. 本站内容仅供学习和交流使用，版权归原作者所有！© 查看更多

3. 如有内容侵害到您，请联系我们尽快删除，邮箱：kf@codeae.com

3335 经验

3329 文档