4、网站目录权限配置
目录有写入权限,一定不要分配执行权限
目录有执行权限,一定不要分配写入权限
网站上传目录和数据库目录一般需要分配“写入”权限,但一定不要分配执行权限
其他目录一般只分配“读取”和“记录访问”权限即可
5、删除不必要的应用程序扩展
IIS默认支持.asp、.cdx等扩展名的映射,除了.asp之外其他的扩展几乎用不到。这些拓展加重了服务器的负担,而且我们知道,没有限制.asa或者.cer等拓展名,黑客可以利用上传漏洞进行攻击。
站点属性->主目录-配置->删除.asa和.cer等拓展
6、错误信息配置
特殊字符会使页面产生报错信息,攻击者将会获得网站目录等敏感信息,因此需要取消报错信息显示。
