Hacker Friendly

FTP 與 Web 放在同一台並且沒有任何限制，也是 Hacker-Friendly 的典範。

Damon Ho ： 為什麼 FTP Server 跟 Web Server 在一起的時候容易有資安問題？

最近在處理公司內部系統的架構的時候，回絕了一個請求，讓windows server上的iis開放讓user從任何來源都可以上傳資料

為甚麼?

雖然通常ftp跟web server的user帳號是分開的，也是用不同的路徑，但是當web server需要直接讀取ftp上傳的資料的時候，這就表示，有些路徑，兩個services都會去存取 想想有多少的網站，開給修改網頁的人的ftp帳號，進去之後就是web server的資料路徑 於是有心人士很容易透過ftp上傳可執行檔案，例如php , aspx等等檔案，再透過browser直接開啟這些檔案，就可以讓web server去執行這些檔案，於是就得到了整台web server的控制權

目前的ftp server，並沒有辦法控管那些檔案類型不能上傳，因此比較好的做法是，只開放可以信任的來源(特定的ip)才能上傳資料，並且透過其他軟體來檢查上傳的檔案是否是可以信任的 或是笨一點的作法，有需要時才開啟，用完之後就關掉ftp 或是最麻煩的，啟用ssl加密，只接受有安裝了可以信任的憑證的客戶端才能上傳資料，但是這個實作上在客戶端上面比較麻煩

宜蘭縣政府工商旅遊處一搜就掛

Gigastone 立達國際 錯誤訊息洩漏

臥龍創意網頁設計公司  錯誤訊息

成功大學 - 跨學門科學人才培育銜接計畫

社會工作出路網  錯誤訊息洩漏