★Winwebmail安全详细的设置，避免ASP/ASP.NET跨站攻击危险。★

dingaa

弄了半天，也没有弄太明白，还是谢谢了，有时间再好好的看吧。

ceboy

呵呵，我前面也写过,思路跟楼主的差不多.

dxlx

楼主说的还是有点复杂啊，我们这些菜鸟根本看不明白，能不能再详细解释一下，可操作性强一点，嘿嘿，谢谢了。

tdk

这样的帖子一定要顶！ 可是我怎么不能给你评分呢？？
难道评分不是没人跟可以的吗？

xlas

学习了.实际上就是说为mailserver  分配一个只读的访问用户mail_vistor.
封了aspnet.等的用户.
是否是这个意思.

[ 本帖最后由 xlas 于 2008-7-27 09:07 编辑 ]

sysgmaj

其实没有想像的那么复杂

漠兄

关于楼主的设置，个人整理了一下，稍微有点不一样

1、新建立一个USER，属于GUESTS组，如：mail_vistor。

2、新建立一个USER，属于IIS_WPG组，如：mail_user。

3、打开IIS，新建立一个进程池，命名， 如：mail_process。启动权限用户设置为：mail_user

4、打开IIS，新建立一个站点，指定主文档目录为WINWEBMAIL目录下WEB目录。并指定进程池为mail_process.
在目录安全性，里编辑匿名访问用户为：mail_vistor（或者默认为IUSR_XXX，二个用户选一即可,图片中用的是默认IIS用户）。

5、给安装WINWEBMAIL的盘符根目录比如：E盘，管理员和mail_vistor只读权限。

6、给WINWEBMAIL目录mail_user、mail_vistor以及管理员三者可读写权限。

7、添加network service和aspnet 两个用户，权限设置为拒绝访问。

添加运行其他运行ASP网站的用户组为拒绝权限，我这里其他所有ASP网站都是在hostgroup用户组里的用户的权限来分别验证的的，我直接将整个组添加权限为：拒绝访问。（通其他ASP的防止跨站的权限设计，我就简单带过。）

8、web目录事实上已经集成了上级目录winwebmail的权限，不需要特别设置了，不过除了web目录其他目录和文件也拥有读写权限，是否安全，我也不得而知，希望高手指教，

dtfjg88

其实设置成独立用户运行WINWEBMAIL就可以了   

国内有那么高深的技术的所谓的“黑客”没发现几个

81049644

ffffffffffffffffffffffffffffffffffffffffffffffffffff

泥巴鱼

通过windows目录下的log文件找到安装目录，那应该是c盘的安全设置不正确吧。否则SHELL是查看不了的哦！
而且可以成功跨目录操作的话，只能证明虚拟主机的权限设置就不正确。否则只能操作被传后门的网站自身目录，而不能跨目录！

[ 本帖最后由 泥巴鱼 于 2008-9-27 12:15 编辑 ]