avatar
文章
212
標籤
444
分類
9
首頁
頁面
  • 歸檔
  • 標籤
  • 分類
關於
kyosora 筆記
搜尋
首頁
頁面
  • 歸檔
  • 標籤
  • 分類
關於

IIS

以為是 App Pool 的鍋,結果 IUSR 被 Windows 偷走了
發表於2026-04-23|系統與維運
上週為了讓同事拉一份檔案,我在測試機上把 IIS 專案資料夾開了個進階共用。東西傳完後我把共用關掉,繼續回頭改別的東西。 十分鐘後測試站同事回訊息:整個網站 HTTP 401,連 /favicon.ico 都打不開。 我第一個念頭是「我剛剛根本沒動 web.config 啊?」然後花了半小時繞遠路——這篇就是想分享這個坑,因為症狀跟原因之間的距離遠到不合理。 症狀 瀏覽器吃到 401 Unauthorized 連 CSS、圖片這類靜態檔都 401 IIS 沒有動過站點設定 專案程式碼沒動過 App Pool 跑得好好的,沒當機、沒停 重啟 IIS 沒用 翻開 IIS 記錄(C:\inetpub\logs\LogFiles\W3SVC...),關鍵那行: 12sc-status: 401sc-substatus: 3 401.3 的官方說明是 「Access is denied due to an ACL set on the requested resource」——翻譯:這不是 IIS 驗證設定的問題,是 NTFS 層級擋下來的。 我第一個走錯的方向本能反應是去翻 App ...
當 IIS 遇到代理伺服器:如何在複雜網路環境下實現真實 IP 白名單控制
發表於2025-07-01|前後端開發系統與維運
前情提要:測試機被臨時收走台電那邊因為要做白帽滲透測試,得暫時把測試機關掉。但開發團隊三不五時還是需要一個能驗功能的環境,於是我們把程式臨時搬到另一台機器上跑。原本盤算著,IIS 設個 IP 白名單就能擋住外人,半小時搞定。結果這個白名單,前後折騰了我大半天。 問題:白名單一開,全員 403我在 IIS 管理器的「IP 位址及網域限制」裡,把信任的 IP 一個個加進白名單,存檔,重新整理頁面。畫面回我一個乾脆的 403。 換個設定再試,規律很清楚: 設成「允許未指定的用戶端」→ 一切正常 設成「拒絕未指定的用戶端,只放行白名單」→ 所有人都 403 白名單裡明明有我自己的 IP,怎麼也被擋?翻 IIS Log 才看懂: 1c-ip: 192.168.0.28 每一筆請求的來源 IP 都是 192.168.0.28。這是那台 Proxy Relay 伺服器。外部請求全部先打到它,再由它轉發進 IIS。IIS 眼裡只有代理伺服器這一個來源,真正的客戶端 IP 它根本看不到——白名單再怎麼設都是擋自己人。 追查:真實 IP 藏在哪個標頭代理轉發時,習慣上會把原始客戶端 IP 塞進...
IIS 網站被植入惡意轉址:用 Google Search Console 驗證擁有權與清查後門
發表於2025-02-03|資訊安全系統與維運
先搞清楚:你遇到的多半不是「DNS 污染」訪客連到你的站,結果被導去陌生的廣告頁;Google 搜尋結果裡你的網頁掛著一堆藥品或博弈關鍵字;你打開首頁原始碼,發現 <head> 多了一段看不懂的 <script>。第一個冒出來的念頭通常是「我被 DNS 污染了」。 但這兩件事發生的地方完全不同,搞錯方向會白忙一場。 DNS 快取污染(DNS cache poisoning / spoofing)發生在 DNS 解析器,不在你的伺服器上。 攻擊者往遞迴解析器塞假的解析結果,讓所有用到那台解析器的人把你的網域解析到攻擊者的 IP。受害的是解析層,動到的是別人家的快取,你改自己網站的 web.config、清 wwwroot、封鎖 .php,一點用都沒有,因為惡意內容根本不是從你的主機送出去的。這類攻擊通常範圍很大(一台 ISP 解析器可能服務上百萬人),而且你在自己機器上 nslookup 出來的 A 記錄往往是正常的。 如果出現的症狀是「首頁原始碼被塞了東西」「wwwroot 多出沒見過的 .php / .aspx 檔」「IIS 記錄檔有可疑的 POST」,...
IISCrypto - 資安弱掃的救星!一鍵搞定 TLS 設定
發表於2024-12-08|資訊安全系統與維運
前言做資安弱點掃描,最常踩到的地雷之一就是 SSL/TLS 設定。掃描報告跳出一堆「Server supports TLS 1.0」、「Weak cipher suite detected」,修法不外乎就是去翻 Windows 登錄檔——路徑又長,改錯一個值可能把整台伺服器的 HTTPS 搞壞。 IISCrypto 是 Nartac Software 做的免費工具,把這些作業全包進圖形介面,幾分鐘內就能把 TLS 設定從滿江紅改成合規狀態。 什麼是 IISCrypto?IISCrypto 是 Windows 伺服器上的 SSL/TLS 設定管理工具。它底層還是在改 Windows 登錄檔,但省掉你自己找路徑、手動調值的過程。主要能操控三件事:啟用或停用哪些加密協定、調整加密套件(cipher suite)的優先順序、設定簽章演算法的選項。 系統需求:Windows Server 2012 或以上、本機管理員權限、.NET Framework 4.6.2 或以上。 為什麼用它?PCI DSS 合規需求PCI DSS v4.0 要求停用 SSL 和 early TLS(也就是 TLS...
IIS 網站突然狂丟403錯誤!原來是安全性設定在搞鬼
發表於2024-11-25|資訊安全
前言某一天,系統突然開始出現詭異的現象:使用者回報網站時好時壞,重新整理一次可能好,但下一秒又壞了。查看記錄檔發現大量的 403 Forbidden 錯誤,但最讓人困惑的是,同一個檔案,有時候能載入,有時候卻被封鎖。這到底是怎麼回事? 1. 檔案/資料夾權限設定問題先從最常見的原因開始排查: 確認網站資料夾的 NTFS 權限是否正確 IIS_IUSRS 和 IUSR 使用者需要有讀取權限 Application Pool 身份對網站目錄需要有讀取權限 2. IIS 設定檢查 在 IIS 管理員中確認網站的身份驗證設定 檢查是否啟用了正確的驗證方式(如匿名驗證) 確認網站綁定設定是否正確 以上全部確認過,都沒有問題,403 依然持續出現。 問題的關鍵:動態 IP 限制設定以上都查過沒問題之後,只能在網站上重複重新整理,同時盯著 IIS 記錄檔看。記錄檔裡確實有很多 403,但看不出理由。接著注意到一件事:原本 403 的檔案忽然正常了,反而其他檔案變成 403。多重整幾次,每次被影響的檔案都不一樣。 到這裡方向就清楚了。這不是靜態的權限問題,而是動態封鎖——問題的源頭是 II...
avatar
kyosora
技術探索與學習分享
文章
212
標籤
444
分類
9
GitHub
最新文章
日產 3 萬 7 千行 AI 程式碼很猛?有人掀開 YC 執行長網站的引擎蓋
日產 3 萬 7 千行 AI 程式碼很猛?有人掀開 YC 執行長網站的引擎蓋2026-07-08
Fable 5 只有一次機會,我沒叫它寫程式:讓最強模型幫接班的弱模型立制度
Fable 5 只有一次機會,我沒叫它寫程式:讓最強模型幫接班的弱模型立制度2026-07-07
封 AI 爬蟲卻把 Googlebot 一起擋掉?Cloudflare 新版 AI 流量控制的三個分類與一個期限
封 AI 爬蟲卻把 Googlebot 一起擋掉?Cloudflare 新版 AI 流量控制的三個分類與一個期限2026-07-02
乾淨的 GitHub repo 也能讓 Claude Code 幫你開反向 shell
乾淨的 GitHub repo 也能讓 Claude Code 幫你開反向 shell2026-07-02
18 天前 Fable 5 被政府按掉,今天 Anthropic 連 Sonnet 5 一起還回來
18 天前 Fable 5 被政府按掉,今天 Anthropic 連 Sonnet 5 一起還回來2026-07-01
分類
  • AI工具實戰86
  • AI產業觀察44
  • 前後端開發17
  • 工具與生產力45
  • 程式設計53
  • 系統與維運17
  • 職涯與反思20
  • 資料庫11
  • 資訊安全21
標籤
LLMClaudeDeepSeekGeminiAI 趨勢OpenRouterCSS本地LLMbenchmarkATLAS成本分析AI AgentNemoClawOpenClawGTC 2026框架選型Claude Code多 Agent 系統開發者工具GitHub 開源CursorTemporal系統可靠性工程實踐Firefox安全漏洞AI安全研究LLM應用GitHub TrendingAI投資產業分析開發者生態NVIDIAAI Coding Assistant安全性開發經驗GPT-5.4Computer Use自動化
歸檔
  • 2026年07月 5
  • 2026年06月 22
  • 2026年05月 17
  • 2026年04月 5
  • 2026年03月 47
  • 2026年02月 3
  • 2026年01月 2
  • 2025年12月 2
網站資訊
文章數量 :
212
運行時間 :
總字數 :
395.3k
最後更新時間 :
© 2024 - 2026 By kyosora
搜尋
資料載入中