虽然我永远不会设置此权限,但我想知道具有标题中提到的权限的静态 html 网站会如何受到损害。
以我个人观点来看,这不会构成威胁,因为网络访问者无法上传/编辑/删除任何内容。
如果该网站是一个简单的 PHP 网站,只显示“hello world”,会怎么样?如果这个 PHP 网站有一个经过适当清理的联系我们表单,会怎么样?
谢谢
编辑:我应该提到将 IIS 限制为仅 GET 和 POST 请求,否则任何人都可以删除和上传内容。
答案1
问题不仅仅出在页面上,也出在承载该页面的引擎上。
初始请求中的 GET 或 POST 数据可能利用 IIS 漏洞,在获取静态内容之前就暴露了不该暴露的数据。就像 HeartBleed 暴露服务器内存中的数据,而不管响应的实际内容是什么。
至于 PHP,一切都还不确定。PHP 存在漏洞的历史由来已久(就像任何服务器端预处理器会这样做)。
我想说的是,您的服务器所提供的动态页面的攻击面比不依赖于服务器执行特定页面的漏洞要大得多,但这并不意味着它们不存在(再次参见:Heartbleed)。