➢ 参数操纵是指对 Web Services 客户与 Web Services 之间发送的数据进行未经授权的修改。 例如，攻击者可以截获 Web Services 消息（例 如，在通过中间节点到达目标的路由中），然后 在将其发送到目标终结点前对其进行修改
Web Services 面对的主要威胁和攻击
IIS 服务器不仅仅能够提供常见的 WEB 应用 而且和很多服务器集合使用在企业中已经非常 广泛，如何加固IIS 服务器安全您了解多少？
是否安装了系统补丁并配置了防火墙就万无一 失了？
您是否了解 IIS 6.0 基础架构 了解如何保护IIS Web服务器安全、防范攻击
以及优化IIS Web服务器的技巧、实践与工具
我们将讨论…
现在应立即采取的安全手段 未来要作的事情
安全术语
资产
（Asset）
脆弱性 （Vulnerability）
威胁
（Threat）
威胁因素 （Association）
风险
（Risk）
利用/暴露 (Exploits/Exposure)
对策
(Countermeasure)
Web Services 面对的主要威胁和攻击
演示
手把手教你保护IIS
掌握如何选择正确的IIS 组件 在IIS目录上设置合适的访问权限列表
启动日志记录
内容安排
IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源
使用安全利器
安全配置向导
用向导界面完成安全检查 完成 IIS 6.0 的配置 完全免费，Windows Server 2003
SP1 中内置 （从） 快速模式 高级模式 通俗易懂的帮助
使用安全利器
安全配置向导
使用系统内置安全利器
windows 防火墙
推荐使用单独的防火墙，但是在预算不 足的情况下
基于端口的过滤 内置在操作系统中 对绝大多数攻击都有防护作用
➢ 第一种，Web Services 可能支持动态生成 Web Services 描述语言 (WSDL)，或者可能在 Web 服务器上的可下载文件中提供 WSDL 信息
➢ 第二种，如果异常处理不充分，Web Services 可 能会泄漏对攻击者有用的敏感的内部实施详细信 息
Web Services 面对的主要威胁和攻击
保护 IIS安全
手把手教你设置 IIS 安全保护
预先的安全安装是必须的 组件安装的选择、利用IIS 内置的安全特性
设置合适的访问权限列表
访问控制和安全策略 远程管理的安全配置
在IIS log上设置合适的访问权限列表、同时设 置合适的验证机制
启动日志记录（ W3C Extended Log）
规划恢复计划
IIS 6.0 Web服务器安全管理 最佳实践
首先具备的知识
掌握 Windows 2000/Windows Server 2003 的日 常操作
了解 IIS（ Internet Information Server ）或者
IIS 日常操作 如果能够了解常见攻击方法或相关内容更佳
级别 200
概览
网络窃听
➢ 通过网络窃听，当 Web Services 消息在网络中 传输时，攻击者可以查看这些消息。例如，攻击 者可以使用网络监视软件检索 SOAP 消息中包含 的敏感数据。其中有可能包括敏感的应用程序级 别的数据或凭据信息
Web Services 面对的主要威胁和攻击
配置数据的泄漏
➢ Web Services 配置数据的泄漏的方法主要有两 种。
内容安排
IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源
IIS 6.0 架构
INETDINLFLOHOST.eWxe AS
ISAPI Extensions (ASP, etc.)
metabase
ISAPI Filters
CLRCALCpRLpRADpApoppmDoDamoinmainain
CLR App Domain
CLRCALpRpADppomDoaminainBiblioteka TCP/IPHTTP.SYS
IIS 6.0 必备知识
内容安排
IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源
Web Services 面对的主要威胁和攻击
未授权的访问 漏洞
➢ 可导致通过 Web Services 进行未授权的访问的 漏洞包括：
➢ 未使用身份验证 ➢ 密码在 SOAP 头信息中以明文形式传递 ➢ 在未加密的通信通道中使用基本身份验证
Web Services 面对的主要威胁和攻击
参数操纵
Config Mgr Process Mgr
Application Pool 1
INETINFO
W3WP.EXE
Application Pool 2
WW33WWPP..EEXXEE
ISAPI
IISSAAPPII
EExxtteennssiioonnss
meCtaLRbaAspep Domain ISAPI ((AASSPP,, eettcc..))
CLR App Domain
ISAPI Filters
Web Garden
W3WP.EXE W3WP.EXE AspnWet3_wWpP.e.ExeXE
ISAPI ISAPI CLR AACpSLpPR.NDAEoppmT DaISoinAmPaiIn
CLR App Domain
消息重播
➢ Web Services 消息可能会在传递过程中经过多个 中间服务器。通过消息重播攻击，攻击者可以捕 获并复制消息，并模拟客户端将其重播到 Web Services。消息可能被修改，也可能保持不变
保护 Windows安全
安全检查列表
所有磁盘分区都是 NTFS的 管理员账号必须有一个复杂的密码 禁止不需要的服务 删除和禁止不必要的账号 移除不必要的文件共享 在文件、共享和注册表上设置访问权限列表 设置严格的安全策略 安装最新的service pack 和补丁 安装防病毒软件