winwebmail安全真让人担心。。。

yjd

最近装了。测试中。
必须要给users组的权限才可以正常使用。。尝试降低guests组。无法运行。。
因为users组。试着利用其他网站，跨目录向mail目录写入一个webshell
只要一个webshell在winwebmail目录里就可以破坏整个mail服务的文件。

还真奇怪。比如在d:\mail。这样把mail独立出来设置ntfs权限。还不行。还要给D盘根目录。一个读的权限。，哦测试过给web匿名访问帐号读权限是可以。不需要列目录。

[ 本帖最后由 yjd 于 2006-7-31 09:28 编辑 ]

rayer

有时间可以多翻翻以前的老贴子：
http://www.5dmail.net/bbs/thread-126258-3-1.html

yjd

感谢版主回复。初步看了原来是bmp说的函数要读路径。难怪我说怎么独立设置了
d:\mail权限，还非要开d盘的读权限。以前网站既不独立设置权限就不考虑根目录也要权限的。
＝＝＝
早上用这样的方式测试：
mail网站在：d:\mail\web目录权限guests组下的mail帐号
mail服务主目录d:\mail权限users完全控制
假如d:\mail\web\yjd.asp一个马。然后竟然可以跨上级目录。然后从d:\web（另一个网站的目录，也可以直接跨到d:\mail目录）
但是d:\mail和d:\mail\web我都是独立设置了权限。不存在继承关系

这个问题还真郁闷人。。不过早上终于找到算是比较满意的权限设置了。
现在情况。
d:\              给mail读权限没列目录权限，不想让他看到我d盘下还有哪些东西，
d:\mail         给users组完全控制，测试guests组权限不够。又问题：（
d:\mail\web  给mail帐号读取和运行列目录。
这样还是同上面一样，我d:\mail\web\shell.asp的网马还是可以跨到上级目录。后来把那个访问网站的mail帐号连guests组的权限都不给他。问题全解决了。起码d:\mail\web下有asp马。也没办法册d:\mail下的mail服务器的东西了和查看。还算满意。大家觉得如何呢？这样的权限应该很低了吧。^)^

上面那个问题反映了guests组和users组是乎快要同等权限了。我猜的，不知道对不对。

[ 本帖最后由 yjd 于 2006-7-31 13:21 编辑 ]

rayer

呵呵，bmp是此中高手，但他老兄不常来。

yjd

yjd，您好！

最好不要让用户有上传文件并执行的机会，邮件系统最好独立放在一台邮件主机上，并且不允许用

户上传。这样就不会有安全性问题了，顺便说一下，基于asp的系统一般都需要这样的权限，比如

最新的 imail等，因为邮件系统COM组件的运行也必须要有这样的权限才可以。

  感谢您对WinWebMail以及WebEasyMail软件的支持!

  祝: 万事如意!

                    马  坚

马先生给的回复。不知道他来不来这里，^_^.没钱搞独立邮件服务器.暂就用哦这个方法了

[ 本帖最后由 yjd 于 2006-7-31 13:30 编辑 ]

yjd

今天在系统里看到这个

guests按默认值，来宾跟用户组的成员有同等访问权，但来宾帐户的限制更多

以前没注意到。
以后设置权限，最低不再是guests了。^_^

[ 本帖最后由 yjd 于 2006-8-5 18:05 编辑 ]

bmp

哇,那个心花怒放实在是无语言表,居然有人说偶是高手,简直快飘到天上去了~~~~~~

实际上这类权限问题并不复杂,例如在serv-u这类第三方服务的设置上,只需要控制好启动服务的用户以及服务所运行/读写的目录权限即可.winwebmail之所以经常出这个问题,关键在于他使用了iis,导致很多人混熬了权限设置.实际上只要你拆开分析就能清楚很多.

2个月前因为政治贴导致我连续被封2台私人服务器(免费为朋友提供的空间),第一次还没搞明白是什么事情,以为是XX功(完全不知道出事的帖的内容就被封了),第二次终于看到出事的帖,我kao,只不过是些路边新闻(至少我看不出有政治观点),气得我发晕~~~~~~我人现在又在境外,没办法回去处理,没机器用了,就少上5dmail了.

rayer

哈哈，不拍你两记马P，怕你不常来。最近不知道怎么回事，好象好些有名的坛子都有严管的趋势，搞滴不很爽啊。

yjd

所以呀。xxx，党就是这样。。。呵呵。。

supermail

关注`~~