★Winwebmail安全详细的设置，避免ASP/ASP.NET跨站攻击危险。★

Freemikej · 发表于 2008-9-27 20:38:17

windows目录难道你浏览权限不给？

泥巴鱼 · 发表于 2008-9-28 12:11:59

可以两个方式做！
1、只有administrators组用户可访问
2、绝对安全的方法，只有admin账号能访问，除了这个账号，其它的哪怕是administrators组其它用户都不能访问！

相关权限只需要应用至C盘符以及软件安装的program files目录即可！记得附上system权限！不然无法安装软件！

schmosun · 发表于 2008-10-1 23:15:30

学习过程中,以后请大家多多帮助

e66478 · 发表于 2008-10-8 20:48:34

顶一下18楼大兄弟!

e66478 · 发表于 2008-10-9 17:36:42

这样设置权限WEB登入不了,为了做到这个我弄了很久啊

zxcking · 发表于 2009-10-16 14:02:25

SYSTEM组给啥权限？完全？

zhangjinwei · 发表于 2009-10-18 14:06:11

根目录不加user的读取和运行权限根本就不行，无法登陆

Freemikej · 发表于 2009-10-18 16:45:48

根目录不用给USER组读取权限，运行权限？就更加不必要了。当然给了也不是不可以，如果给了，那就是所有USER组的用户都可以来访问和执行你的根目录下的东西或者程序了。

对于根目录比较安全的权限是只要给三个用户如下权限：
一个是管理员-完全控制权
二个是用来访问winwebmail邮局这个站点的用户-只读权
三个是用来启动winwebmail邮局这个站点的进程池用户-只读权

其实对于一个服务器上没有其他站点只有一个邮局站点，并且没有其他服务了，这样设置没有太大必要。因为本身winwebmail本身站点是否有漏洞没人去深究。只要服务器不被攻陷，站点就相对安全了。
以上设置主要考虑到服务器上存在多个站点，多种服务，尤其存在asp.net站点的时候，考虑到从其他站点尤其是asp.net站点可以跨站攻击到邮局。我曾经帮助过很多天下服务器QQ群里的ISP服务器商们看过他们的服务器设置，大部分都是存在这个设置缺陷的。是完全可以导致所有邮局信息外泄的。

实际上本人就是在用ASP.NET攻击一个服务器商，帮朋友公司从一个ISP服务器上导出了他邮局的所有的用户名和密码以及所有的邮件文件以后才写下这篇设置供大家参考的。

[ 本帖最后由 Freemikej 于 2009-10-18 16:50 编辑 ]

lowpower · 发表于 2011-2-2 11:09:30

感谢提供，对虚拟主机用户有用

大大连 · 发表于 2011-3-10 00:08:59

支持，需要技术支持，感谢分享哈~

		自动登录	找回密码
密码			会员注册

[原创] ★Winwebmail安全详细的设置，避免ASP/ASP.NET跨站攻击危险。★