三、 IIS设置(包括IIS 4.0和IIS5.0)  只安装Optoin Pack中必须的服务，建议不要安装Index Server、FrontPage Server Extensions、示例WWW站点等功能（NT）。Windows 2000中作类似设置。 说明：IIS中的众多 安全 隐患是由一些其他的功能引起的，如果仅做一个WWW站点，就需要安装必须的服务，如WWW服务、FTP服务，这样减少黑客利用这些漏洞攻击的机会。

停止默认的FTP站点、默认的Web站点、 管理 Web站点，在新的目录下新建WWW服务与FTP服务。 说明：默认的站点与管理Web站点含有大量有安全漏洞的文件，极易给黑客造成攻击机会。具体漏洞见所附安全文档。因此，必须禁止。同时，应该在新的目录下建立服务，这个目录千万不要放在InetPubwwwroot下，最好放在与它不同的分区下。

删除不必要的IIS扩展名映射。最好去掉.IDC、.HTR、.STM、.IDA、.HTW应用程序映射，.shtml、.shtm等如果无用，也应去掉。 说明：上述应用程序映射，具有大量安全隐患。方法：NT(2000同)：Web站点——属性——主目录——配置——应用程序映射  安装新的Service Pack后，IIS的应用程序映射应重新设置。 说明：安装新的Service Pack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。  设置IP拒绝访问列表 说明：对于WWW服务，可以拒绝一些对站点有攻击嫌疑的地址；尤其对于FTP服务，如果只是自己公司上传文件，就可以只允许本公司的IP访问改FTP服务，这样，安全性大为提高。 禁止对FTP服务的匿名访问 说明：如果允许对FTP服务做匿名访问，该匿名帐户就有可能被利用来获取更多的信息，以致对系统造成?：?。  建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许 管理 员和system为Full Control） 说明：作为一个重要措施，既可以发现攻击的迹象，采取预防措施，也可以作为受攻击的一个证据。  慎重设置WEB站点目录的访问权限，一般情况下，不要给予目录以写入和允许目录浏览权限。只给予.ASP文件目录以脚本的权限，而不要给与执行权限。

说明：目录访问权限必须慎重设置，否则会被黑客利用。 四、 ASP编程 安全 ：  安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则，会给黑客造成可乘之机。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果写程序的时候注意的话，还是可以避免的。

涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限。 说明：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此要尽量减少它们在ASP文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。

需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。 说明：现在的需要经过验证的ASP程序多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入，因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。防止ASP主页.inc文件泄露问题当存在asp的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。

解决方案：程序员应该在网页发布前对其进行彻底的调试； 安全 专家需要固定asp 包含文件以便外部的用户不能看他们。 首先对 .inc文件内容进行加密，其次也可以使用 .asp 文件代替 .inc 文件使用户无法从浏览器直接观看文件的源代码。.inc文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。  注意某些ASP编辑器会自动备份asp文件，会被360极速体育nba直播吧_nba百事通极速体育_nba直播 jrs的漏洞 在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击有可以直接360极速体育nba直播吧_nba百事通极速体育_nba直播 jrssome.asp.bak文件，这样some.asp的源程序就会给360极速体育nba直播吧_nba百事通极速体育_nba直播 jrs。  在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性 检查 ，同时要在服务器端程序中进行类似检查。

说明：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；

如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。