配置 Web 权限
以下是根据发布的材料的用途来配置 Web 权限的各种方法：

? 启用读取、写入和目录浏览：启用这些权限允许客户端查看资源列表并进行修改（除非对这些资源没有写入权限）、发布自己的资源以及处理文件。
 
? 启用写入；并禁用读取和目录浏览： 如果只想让客户端在目录中发布私人信息，而不希望别人查看所发布的内容，可以设置写入权限，但不设置读取和目录浏览权限。该配置在客户端端提交选票或性能检查时非常有用。
 
? 启用读取和写入；并禁用目录浏览：如果希望通过隐藏文件名来提高安全性，可设置该配置。然而，请注意，通过隐藏文件名来设置安全性是一种低级的安全防范措施，因为一个故意破坏者可通过试探和错误信息来猜测出文件名。
 
? 启用索引资源：如果打算让客户端搜索目录资源，请确保启用了索引服务。

保护脚本代码
如果在发布目录中有一些不想让客户端看到的脚本文件，您可以通过不授予“脚本资源访问”权限来拒绝访问。可执行文件将作为静态 HTML 文件处理，除非为该目录启用了“脚本和可执行文件”。

要阻止 .exe 文件下载并作为 HTML 文件来查看，但允许其运行，可在发布目录的“虚拟目录”属性页中，将执行权限更改为“脚本和可执行文件”。

这一权限级别使所有可执行文件受“脚本资源访问”设置的影响。换句话说，如果选中了“脚本资源访问”，有读取权限的客户端可以看到所有的可执行文件；有写入权限的客户端既可运行它们，也可以编辑它们。

使用下面的权限，客户端可以在未出现在应用程序映射中的可执行文件中写入信息：

? 已授予写入权限。
 
? 执行权限设置为“纯脚本”。 

使用下面的权限，客户端可以向任何可执行文件中写入信息，不论它们是否出现在应用程序映射中：

? 已授予“脚本资源访问”权限。
 
? 执行权限设置为“脚本和可执行文件”。

让我们打开一个IIS服务器来看看。在IIS 服务管理器中，选择一个目录，看他的属性，在目录属性项有有这么一些选项（日志访问和索引此资源不计）：

脚本资源访问：　对网站的脚本可以读取原文件。

读取　　　　　 读取目录里面的静态资源。

写入　　　　　 用户可以建立以及删除资源

目录浏览　　　 用户可以浏览目录内容。

应用程序设置的执行许可中有三个选项：

无　　　　　　 　只能访问静态页面

纯脚本　　　　　　 只允许允许脚本　如ASP脚本

脚本和可执行程序　 可以访问和执行各种文件类型

那么，如何确定服务器上面的这些开关设置呢？ 别着急，一个一个来。

执行权限

　   如何确定某个目录是否开了执行权限呢？很简单，向服务器发送一个下面得请求：
http://iis-server/dir/no-such-file.dll    /dir/为要判断得目录，no-such-file.dll是随便取得一个名字，服务器上面没有这个文件。
服务器对我们得请求会返回一个信息。如果返回的是一个500错误：
HTTP 500 - 内部服务器错误 （Internal Server error）
那么就说明这个目录的执行权限是开着的。 对于服务器，能不开执行权限的就不要开。特别是虚拟目录的执行权限，大家想一想UNICODE和二次解码漏洞的利用过程就明白了。
如果服务器返回的是一个 404 错误：HTTP 404 - 未找到文件，那么就说明这个目录的执行权限没有开。

写权限
测试一个目录对于web用户是否具有写权限，采用如下方法：
telnet 到服务器的web端口(80)并发送一个如下请求：

PUT /dir/my_file.txt HTTP/1.1
Host: iis-server
Content-Length: 10 <enter><enter>

这时服务器会返回一个100( 继续)的信息：
HTTP/1.1 100 Continue
Server: Microsoft-IIS/5.0
Date: Thu, 28 Feb 2002 15:56:00 GMT

接着，我们输入10个字母：

　AAAAAAAAAA

送出这个请求后，看服务器的返回信息，如果是一个 201 Created响应：

HTTP/1.1 201 Created
Server: Microsoft-IIS/5.0
Date: Thu, 28 Feb 2002 15:56:08 GMT
Location: http://iis-server/dir/my_file.txt
Content-Length: 0
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND,
PROPPATCH, SEARCH, LOCK, UNLOCK

那么就说明这个目录的写权限是开着的，反之，如果返回的是一个 403 错误，那么写权限就是
没有开起来，如果需要你认证，并且返回一个 401(权限禁止) 的响应的话，说明是开了写权限，但是匿名用户不允许。 如果一个目录同时开了”写”和“脚本和可执行程序”的话，那么web用户就可以上传一个程序并且执行它，恐怖哦%^#$!~