Installate sempre e tempestivamente le nuove patch Va da sé che dovreste sempre applicare le più recenti patch di sicurezza ai vostri sistemi e monitorare gli annunci inerenti la security e tutti i rilasci di patch per qualsiasi applicazione presente s …
Installate sempre e tempestivamente le nuove patch
Va da sé che dovreste sempre applicare le più recenti patch di
sicurezza ai vostri sistemi e monitorare gli annunci inerenti la security e
tutti i rilasci di patch per qualsiasi applicazione presente sul vostro Web
server. Per esempio, alcune versioni di PHP sono affette da un bug che permette
a un attacker di effettuare il traversal directory manipolando il nome di un
file dopo il suo upload, per cui assicuratevi di avere applicato le relative
patch.
Poiché gli attacchi path traversal permettono all’attacker di eseguire programmi e tool del sistema operativo, dovreste individuare sempre le directory Web root e le directory virtuali su un sistema non partizionato. Non è possibile passare da un drive all’altro. Per esempio, se il vostro sistema è installato sul drive C: potreste spostare il vostro sito e la content directory sul drive E: assicurandovi che tutte le directory virtuali puntino al nuovo drive. Per i siti Web Windows-based questo significa di non collocare mai i contenuti del sito stesso nella directory default\Inetpub\wwwroot. Tale tattica, inoltre, assicura anche che fallisca l’azione di qualsiasi futuro worm conclamato che potrebbe permettere a un attacker di accedere ai file di sistema.
Il modo più semplice di proteggere un Web server IIS contro questo ed altri attacchi è di scaricare e lanciare il tool IISLockdown: si può effettuare il download gratuito all’indirizzo http://download.microsoft.com. URLScan, che viene installato quando si fa girare IISLockdown, blocca le richieste che contengono i caratteri pericolosi. IISLockdown disabilita inoltre la configurazione dei percorsi collegati, prevenendo in tal modo l’uso di “…” negli script e nelle chiamate dell’applicazione.
Per concludere, gli amministratori di IIS dovrebbero controllare tutti i permessi Web, fornendo un strato extra di sicurezza ai file NTFS, e dovrebbero considerare l’upgrading a IIS 6.0. che offre significativi miglioramenti nella sicurezza rispetto alle precedenti versioni di IIS.
