關(guān)注給予郵局Winwebmail安全詳細(xì)的設(shè)置，避免跨站；

[重要通告]如您遇疑難雜癥,本站支持知識(shí)付費(fèi)業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時(shí)間哦!

大家安裝WINWEBMAIL，通常大家都是參照官方的說(shuō)明，給Winwebmail目錄users組甚至是Everyone可寫(xiě)權(quán)限。這樣設(shè)置基本就能滿足winwebmail的運(yùn)行了。但是對(duì)于一些服務(wù)器上同時(shí)存在有其他asp或者asp.net站點(diǎn)，比如做虛擬主機(jī)的服務(wù)商。這樣設(shè)置很容易在另外一些站點(diǎn)被黑后，受到跨站攻擊的牽連。

好一點(diǎn)的就將Winwebmail的安裝目錄改的很復(fù)雜來(lái)躲避黑客的跨站攻擊。

就這一點(diǎn)來(lái)講，我覺(jué)得WINWEBMAIL官方對(duì)于目錄權(quán)限的設(shè)置其實(shí)說(shuō)的太過(guò)簡(jiǎn)單，有點(diǎn)不負(fù)責(zé)任的感覺(jué)。

下午我仔細(xì)分析了WINWEBMAIL的目錄安全設(shè)置。即使按照一些特殊處理過(guò)能夠防止ASP跨站攻擊的設(shè)置，其實(shí)依然很容易被人ASP.NET跨站攻擊 。實(shí)際上經(jīng)過(guò)測(cè)試，我沒(méi)有花太多工夫就跑進(jìn)了一位協(xié)助測(cè)試的同志服務(wù)器的Winwebmail目錄。并且可以隨意修改里面的東西了。

下面講下具體操作流程,

1、安裝完WINWEBMAIL，基本的東西不詳細(xì)說(shuō)了。

2、新建立一個(gè)USER，屬于GUESTS組，如：mail_vistor。（*注：如果使用iis自帶的IUSR_XXX來(lái)賓用戶，圖片中用的是默認(rèn)用戶。那么這一步可以省略）。

3、新建立一個(gè)USER，屬于IIS_WPG組，如：mail_user。

4、打開(kāi)IIS，新建立一個(gè)進(jìn)程池，命名， 如：mail_process。啟動(dòng)權(quán)限用戶設(shè)置為：mail_user

5、打開(kāi)IIS，新建立一個(gè)站點(diǎn)，指定主文檔目錄為WINWEBMAIL目錄下WEB目錄。并指定進(jìn)程池為mail_process.
在目錄安全性，里編輯匿名訪問(wèn)用戶為：mail_vistor（或者默認(rèn)為IUSR_XXX，二個(gè)用戶選一即可,圖片中用的是默認(rèn)IIS用戶）。

6、給安裝WINWEBMAIL的盤(pán)符根目錄比如：E盤(pán)，管理員和mail_vistor(或IUSR_XXX)只讀權(quán)限。

7、給WINWEBMAIL目錄IIS_WPG組、mail_vistor以及管理員三者可讀寫(xiě)權(quán)限。

添加network service和aspnet
兩個(gè)用戶，權(quán)限設(shè)置為拒絕訪問(wèn)。

添加運(yùn)行其他運(yùn)行ASP網(wǎng)站的用戶組為拒絕權(quán)限，我這里其他所有ASP網(wǎng)站都是在hostgroup用戶組里的用戶的權(quán)限來(lái)分別驗(yàn)證的的，我直接將整個(gè)組添加權(quán)限為：拒絕訪問(wèn)。（通其他ASP的防止跨站的權(quán)限設(shè)計(jì)，我就簡(jiǎn)單帶過(guò)。）

winwebmail目錄下各用戶的權(quán)限為：

winwebmail下的web目錄權(quán)限最終是:

8、重新啟動(dòng)IIS及WINWEBMAIL服務(wù)，即可。

這樣草作后已經(jīng)大體封鎖了來(lái)自除了郵件WEB程序以外的其他asp,asp.net的程序攻擊了。目前我測(cè)試各方面正常。具體防止WEB目錄程序攻擊WINWEBMAIL的詳細(xì)設(shè)置，就各人喜歡再繼續(xù)深入設(shè)置，我就不具體講了。

結(jié)束：如果你不是很了解權(quán)限的設(shè)置，你還可以簡(jiǎn)單的這樣草作，將WINWEBMAIL安裝到一個(gè)不容易猜解的目錄里,比如：E:\XX73C3DA
這種名字的目錄。然后備份c:\windows目錄下WEMINSTALL.LOG這個(gè)文件并刪除。（備份的作用，我是怕以后升級(jí)winwebmail需要使用這個(gè)log文件。具體是否需要沒(méi)有測(cè)試過(guò)。我就是通過(guò)這個(gè)文件找出了測(cè)試服務(wù)器的具體安裝位置的。），但為了避免其他地方可能還暴露出安裝位置，建議你還是按照我的教程進(jìn)行設(shè)置一下吧。

問(wèn)題未解決？付費(fèi)解決問(wèn)題加Q或微信 2589053300 (即Q號(hào)又微信號(hào))右上方掃一掃可加博主微信

所寫(xiě)所說(shuō)，是心之所感，思之所悟，行之所得；文當(dāng)無(wú)敷衍，落筆求簡(jiǎn)潔。 以所舍，求所獲；有所依，方所成！