Tutoriale PHP
  Comunitatea PHP Romania
?>

 
Tutoriale PHP
Securitate IIS (interpretarea rapoartelor Secunia din introducere in IIS)
  • Articole
  • IIS
  • Securitate IIS (interpretarea rapoartelor Secunia din introducere in IIS)
Google Buzz
Securitate IIS (interpretarea rapoartelor Secunia din introducere in IIS)
Vezi comentariiDiscuta acest articol (0 comentarii)
TiparesteTipareste
Adauga la favorite-Doar pentru membriiAdauga la favorite

Securitatea IIS a fost intotdeauna o problema. Site-ul Secunia.com compara securitatea IIS5, IIS6 raportata la Apache. Se pare ca Microsoft si in special echipa de dezvoltare IIS a invatat ceva din experienta Code Red si Nimda.

Din 2003 au fost raportate de catre Secunia:

  • 9 vulnerabilitati de securitate pentru IIS 6.0 (9 rapoarte Secunia, din care 1 nerezolvata)
  • 2 vulnerabilitati de securitate pentru IIS 7.0 (2 rapoarte Secunia, din care 0 nerezolvate)
  • 28 vulnerabilitati de securitate pentru Apache 2.0.x (42 rapoarte Secunia, din care 4 nerezolvate)
  • 31 vulnerabilitati de securitate pentru Apache 2.2.x (18 rapoarte Secunia, din care 2 nerezolvate)

Rapoartele Secunia pot fi vizualizate la urmatoarele adrese:

Trebuie insa avut in vedere anii in care au aparut versiunile de server web. Oricum putem observa ca IIS si-a imbunatatit securitatea de la o versiune la alta.

Vulnerabilitati Apache

Nota: Desi numarul de vulnerabilitati Apache pare mult mai mare decat cel al IIS, unele vulnerabilitati de securitate atribuite Apache, facand parte din LAMP(Linux, Apache, MySQL, PHP) sunt "inerente in alte aplicatii" asa cum afirma Ben Laurie, Director of Security - The Apache Foundation acum cativa ani. (http://itc.conversationsnetwork.org/shows/detail933.html)

Statistici vulnerabilitati

1. Statistici lunare

In grafice sunt reprezentate numarul de rapoarte Secunia din 2003 lunar pe fiecare produs in parte.

sursa: http://secunia.com/advisories/product/1438/?task=statistics


http://secunia.com/advisories/product/17543/?task=statistics

 2. Starea solutionarii

Urmatorul grafic prezinta procentul de rapoarte de securitate care au fost rezolvate/partial rezolvate/nerezolvate. Desi IIS 7.x a avut 2 rapoarte de securitate acestea au fost rezolvate, in timp ce IIS 6 inca prezinta rapoarte nerezolvate.


 sursa: http://secunia.com/advisories/product/1438/?task=statistics

3. Nivel vulnerabilitate

Graficul prezinta nivelul vulnerabilitatii pentru fiecare raport in parte. Se observa ca IIS 7 a prezentat pana acum doar rapoarte cu vulnerabilitati mai putin importante.

4. Sursa atacului

Graficul prezinta sursa atacului potential. Se observa ca in IIS 6 majoritatea surselor sunt remote.

5. Impactul

Graficul Impact prezinta tipul de vulnerabilitate prezenta in fiecare server Web. Observam ca in IIS 7 din cele 2 raportate unul a fost de DoS si unul de ocolire privilegii.

Securitate IIS 7

Pentru a imbunatati securitatea, IIS 7 nu este instalat implicit pe Windows Server 2008. Cand se instaleaza IIS 7, acesta poate deservi doar continut HTML si imagini. Trebuie configurat sa poata deservi continut dinamic: PHP, ASP, etc.

Imbunatatiri securitate in IIS 7:

  • IIS 7 are o structura modulara. Ceea ce inseamna ca facilitatile pe care nu le doriti nu sunt incarcate. In IIS6 se puteau dezactiva facilitati pe care nu le doreati, dar acestea erau incarcate.
  • "Suprafata de atac" este limitata. Prin reducerea numarului de module care se incarca, numarul de zone de atac potentiale este mult mai mic.
  • IIS7 permite sa avem contul IUSR copiat mult mai usor impreuna cu setarile sale de securitate de pe un server pe altul.
  • Unul din modulele noi din IIS 7 il reprezinta modulul de filtrare cereri bazat pe filtrul ISAPI URLScan din IIS 6.

Resurse

http://learn.iis.net/page.aspx/88/configuring-security/
http://technet.microsoft.com/en-us/library/cc731278%28WS.10%29.aspx
http://channel9.msdn.com/posts/scobleizer/Brent-Hill-and-Roger-Grimes-Chatting-about-IIS-7s-security/
http://learn.iis.net/page.aspx/143/use-request-filtering/
http://learn.iis.net/page.aspx/139/iis7-security-improvements/
http://channel9.msdn.com/shows/TechNet+Radio/TechNet-radio-Learn-about-the-IIS7-Security-features-and-benefits/

Sus


Trimis de : N/AData intrarii : 30 Mai 2010Nivel : intermediar


[ Profil autor ]

[ Alte articole ale acestui autor ]
Conectarea la o baza de date din PHP
Interakt - O poveste de succes
IIS Manager
Database Manager
SEO Toolkit
Instalare PHP/IIS. Exemplu aplicat pe WP Installer si phpMyAdmin
Instalarea Joomla si configurarea URL Rewrite pe IIS 7
Introducere in SQL Server pentru dezvoltatorul PHP
FastCGI si WinCache ca mecanisme de accelerare a performantei
Benchmark. Performanta IIS vs. Apache

Gazduire

Tutoriale

Discuta in forum

Parteneri

Copyright © 2001-2017 PHP Romania Gazduire Claus Web | Inregistrare Domenii
Powered by Simplis