可能很多组织还未升级到Windows Server 2012或者Windows Server 2012 R2，但是在我的工作中已经接触了很多IIS 8和IIS 8.5相关内容。作为微软Windows Server的忠实粉丝，我认为微软Web服务器对主要攻击已经具备免疫力。毕竟当你面对脆弱的数据库时，很少有漏洞可以影响到IIS的安全。

当然IIS 8.x的安全性并不是完美无懈可击的，完全避免攻击几乎是不可能的。经过进一步挖掘后，你会发现IIS确实存在一些问题。下面我所描述的第一组漏洞可能不会直接暴露敏感信息，但是可以受到攻击，甚至在安全审计过程中产生警告。以下是几乎每个IIS 8.x Web服务器都可能存在的漏洞：

• 启用SSL版本3。容易受中间人攻击，如一度流行的POODLE。即使服务器支持更高版本的TLS，它仍然是脆弱的。
• 跨帧脚本容易引发“点击劫持”。
• HTTP访问。这允许明文服务器不重定向连接到HTTPS。

在大多数情况下，我会认为这些缺陷是“不重要的”，因为它们对当前的状态不会缠上有害影响。

除了这些服务器漏洞，你还需要考虑你的IIS 8.x服务器上到底运行了什么。你的IIS 8.x服务器“躲开”了基本漏洞扫描并不意味着你不再需要进一步挖掘更好的漏洞扫描器来发现Web应用程序本身缺陷。NTOSpider、Acunetix Web漏洞扫描器或Netsparker，这些工具将有助你实现安全愿景。

下面的安全漏洞不是新闻报道中常提到的“明星”，因为它们特定于每个应用程序。但是它们更容易在你的环境中植入安全风险。

• 跨站点脚本攻击，攻击者操纵用户信息和传播恶意软件。
• SQL Injection（SQL注入），通过Web前端进入数据库世界。
• 用户会话管理漏洞，攻击者操纵应用程序会话。
• 弱密码策略，往往缺乏入侵者锁定。

这些Web服务器问题虽然不是那么明显，但是更容易被攻击者利用，可能让敏感信息直接面临风险。再次强调，这里面存在很多变量，但我一直认为这些发现是至关重要的——是需要尽快修复的事情。

不管是你是经理、管理员或者开发人员，我建议你检查OWASP Top 10，这是一份具有共识的Web安全问题清单，值得关注。一定要关注服务器和应用程序层——在周期性和一致性的基础之上——这将帮助你的组织真正获得Web和Windows服务器安全保障。