Web应用安全：IIS禁止目录列出配置（实验）.doc

实验一： IIS目录列出配置 实验目的 搭建IIS服务器并配置目录浏览权限。 实验内容 搭建IIS服务器 设置实验用目录 配置目录浏览权限 复现目录遍历攻击 关闭目录浏览权限 实验环境 Windows server 2016系统 实验步骤 搭建IIS服务器 在windows server 2016中，可以在“服务器管理器”中的“添加角色和功能”中安装IIS组件。 根据自己的需要，选择安装各种信息。 安装完成。 设置实验用目录 在IIS服务器的根目录中，创建实验文件夹“test”，以及实验文件“test.txt”。 配置目录浏览权限 在“windows管理工具”中，找到IIS管理器，打开管理器以后可以很容易找到“目录浏览”这一选项。 在“目录浏览”中，我们可以选择是否开启目录浏览权限。 复现目录遍历攻击 开启目录浏览权限后，便可以在其他主机的浏览器上查看IIS服务器的目录以及未公开的文件，在其他主机的浏览器上输入“IIS服务器IP/test/”。 可以看到此时我们可以浏览目录，甚至打开目录下的文件如“test.txt”。 关闭目录浏览权限 重新回到IIS管理器，关闭目录浏览权限，此时再次