日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

防止被黑之網(wǎng)絡(luò)服務(wù)器安全經(jīng)驗談

云知道

1、對數(shù)據(jù)庫進行安全配置 , 例如你的程序連接數(shù)據(jù)庫所使用的帳戶/口令/權(quán)限 , 如果是瀏覽新聞的 , 用只讀權(quán)限即可;可以對不同的模塊使用不同的帳戶/權(quán)限;另外 , 數(shù)據(jù)庫的哪些存儲過程可以調(diào)用 , 也要進行嚴格地配置 , 用不到的全部禁用(特別是cmd這種) , 防止注入后利用數(shù)據(jù)庫的存儲過程進行系統(tǒng)調(diào)用;
2、在獲取客戶端提交的參數(shù)時 , 進行嚴格的過濾 , 包括參數(shù)長短、參數(shù)類型等等;
3、對管理員后臺進行嚴格的保護 , 有條件的話 , 應(yīng)該設(shè)置為只允許特定的IP訪問(例如只允許管理員網(wǎng)段訪問)——這個要根據(jù)實際情況來看的;
4、對操作系統(tǒng)進行安全配置 , 防止注入后調(diào)用系統(tǒng)的功能 , 例如把
cmd.exe/tftp.exe/ftp.exe/net.exe
這些文件全部轉(zhuǎn)移到其他目錄 , 并對目錄進行嚴格的權(quán)限指派;
5、設(shè)置網(wǎng)絡(luò)訪問控制;
6、有條件的話 , 配置針對HTTP的內(nèi)容過濾 , 過濾病毒、惡意腳本等;
7、如果有必要 , 可以考慮選擇HTTPS , 這樣可以防止很多的注入工具掃描 , 我以前自己開發(fā)注入檢測工具的時候 , 考慮過做支持HTTPS方式的 , 但目前還沒付諸實施 。
相信你也看出來了 , 總的來說程序方面主要考慮權(quán)限、參數(shù)過濾等問題;權(quán)限主要包括IIS瀏覽權(quán)限、數(shù)據(jù)庫調(diào)用權(quán)限 。除此以外 , 還要考慮數(shù)據(jù)庫、操作系統(tǒng)的安全配置 。另外 , 不知道你們在開發(fā)過程中會不會用到其他人開發(fā)的組件 , 例如圖片上傳之類的 , 這類組件你們研究過其安全性么?或者開發(fā)的過程中 , 絕大多數(shù)人會使用網(wǎng)上、書上提供的現(xiàn)成代碼 , 例如用戶登錄驗證等等 , 這些公開代碼 , 也要研究其安全性問題 。架設(shè)FTP服務(wù)器 , 一向是把安全放在首位 , 特別是利用IIS之類工具建立起來的FTP服務(wù)器更是如此 。如果設(shè)置不當(dāng)遭受到惡意攻擊 , 那造成整個服務(wù)器系統(tǒng)崩潰也絕不是危言聳聽的! 因此 , 采取合理、周全的安全管理是很有必要的 。
我們就從IIS的安全說起 。
IIS , 從NT系統(tǒng)內(nèi)核開始成為自帶的重要信息發(fā)布載體 , 但其不可避免的漏洞也在不少的資料里提及 。IIS用作FTP服務(wù)器架設(shè) , 主要是其簡單易懂的設(shè)置贏得不少人青睞;因此 , 要用好IIS , 我們得從下面這些方面來考慮其安全問題:
1.安裝系統(tǒng)補丁 。微軟網(wǎng)站經(jīng)常在其官方網(wǎng)發(fā)布最新的系統(tǒng)安全補丁 , 大家可以用系統(tǒng)自帶的Windows update程序隨時更新 。
2.FTP目錄的設(shè)定 。比較常見的就是將主目錄指定到邏輯盤 , 再對每個細目錄按不同的用戶設(shè)置不同的訪問權(quán)限 , 并關(guān)閉一些不需要的服務(wù) , 這可以對不良人士利用IIS溢出漏洞訪問到系統(tǒng)盤作個第一級防護 。
3.盡量不要使用21這個默認端口號 , 并啟用日志 , 以便FTP服務(wù)出現(xiàn)異常時檢查 。
另一款FTP架設(shè)軟件Serv_U 。
軟件界面如下圖所示 。感覺此款軟件在安全性方面做得比較好 , 其設(shè)置也不易出錯 , 筆者用過一段時間感覺其速度也比IIS要快得多 。即使這樣 , 同樣也應(yīng)注意其正確的配置:
1.有關(guān)域中服務(wù)器密碼設(shè)定 。
Serv_U提供了三種安全密碼類型:規(guī)則密碼、OTPS/KEY MD4和OTPS/KEY MD5 , 不言而喻 , 規(guī)則密碼的安全性是最低的 。一般我們設(shè)置好了有管理權(quán)限的賬戶后 , 再在“常規(guī)選項卡下打開“密碼類型下拉框 , 從中選擇后兩種類型相對要安全得多 。
2.選中“攔截FTP_bounce攻擊和FXP 。FXP也稱跨服務(wù)器攻擊 , 簡單的說:
當(dāng)惡意用戶通過在PORT命令中加入特定的地址信息 , 會使FTP服務(wù)器與其它非客戶端的機器建立連接 , 而如果FTP服務(wù)器有權(quán)訪問那些非客戶端的電腦時 , 那就可以通過FTP服務(wù)器這個“中介機構(gòu) , 實現(xiàn)與目標(biāo)服務(wù)器的連接!

推薦閱讀