文章內(nèi)容

網(wǎng)站和服務(wù)器的安全知識(shí)

發(fā)布時(shí)間: 2012/7/26 16:49:55

作為站長(zhǎng)，網(wǎng)站的安全有多重要應(yīng)該都清楚的吧，可是網(wǎng)上還是有那么多的網(wǎng)站不堪一擊。。。
網(wǎng)站的話，如果用access數(shù)據(jù)庫(kù)，一定得把數(shù)據(jù)庫(kù)地址搞復(fù)雜點(diǎn)。。。
后臺(tái)，也一樣，不能讓別人猜到。。。記得有牛人說(shuō)過(guò)“能找到后臺(tái)的網(wǎng)站，要么很安全，要么很不安全”
為了安全起見，修改后臺(tái)目錄是很必要的。。。
調(diào)用數(shù)據(jù)庫(kù)，很常見的漏洞就是sql注入了，現(xiàn)在網(wǎng)上有很多菜鳥工具來(lái)利用這個(gè)漏洞，很多菜鳥黑客也能輕松入侵幾個(gè)網(wǎng)站了。。。
網(wǎng)上很多網(wǎng)站系統(tǒng)都有注入，尤其是一些小型企業(yè)站的系統(tǒng)。。。不過(guò)好多都用了通用防注入程序，但是通用防注入，防不住cookies注入，所以我們要升級(jí)通用防注入程序了。。。網(wǎng)上有很多防注入的程序。。。這里我也送大家一個(gè)，是網(wǎng)上下載來(lái)的，怎么用？直接調(diào)用這個(gè)文件就行了。。。像調(diào)用數(shù)據(jù)庫(kù)連接文件那樣。。。哪個(gè)文件調(diào)用？可以是有注入漏洞的那個(gè)程序，也可以是...自己想。。。
還有一個(gè)嚴(yán)重的問題就是跨站，尤其是XSS盜取cookies，別小看這個(gè)，在國(guó)內(nèi)這個(gè)問題很嚴(yán)重。。。我也不多說(shuō)了，而且很多大型的程序如DZ也會(huì)時(shí)不時(shí)的爆出跨站漏洞。。。

很多站長(zhǎng)都有自己的服務(wù)器，服務(wù)器安全也是很關(guān)注的吧。有一種入侵技術(shù)叫做旁注，就是說(shuō)從你的服務(wù)器上的另一個(gè)網(wǎng)站入手，來(lái)拿下你的網(wǎng)站的權(quán)限。。。這種事都發(fā)生在服務(wù)器安全不好的時(shí)候。。。
虛擬主機(jī)的安全設(shè)置都很不錯(cuò)，每個(gè)網(wǎng)站都有獨(dú)立的windows低權(quán)限用戶，咱們也可以這樣設(shè)置：

C,D,E...盤的根目錄只保留system和administrators完全控制，C盤一些地方用附件的批處理設(shè)置。。。
比如我的網(wǎng)站[url]http://www.qdtrip.net/[/url]放在D:\wwwroot\qdtrip\web\文件夾下，我們新建一個(gè)用戶qdtrip，添加進(jìn)guests組，刪除默認(rèn)的users組。
然后在D:\wwwroot\qdtrip這個(gè)目錄上右鍵，屬性，保留system和administrators組的完全控制權(quán)限，然后再添加qdtrip這個(gè)用戶的完全控制權(quán)限。。。
然后在IIS中設(shè)置匿名訪問用戶為hengheren，就這樣，簡(jiǎn)單的安全設(shè)置就好了
wscript.shell這個(gè)組件沒用，可以弄掉。。。具體看附件的txt文件。。。還有服務(wù)器的安全設(shè)置，參考附件內(nèi)的bat文件，亦可直接在服務(wù)器上運(yùn)行。。。
03服務(wù)器以前有個(gè)ODAY，用那個(gè)叫做“巴西烤肉”的黑軟可以通過(guò)guest權(quán)限把自己提升為system權(quán)限，奇怪的是有些打了全部補(bǔ)丁的機(jī)器還是有這個(gè)漏洞，我也不知道為什么。。。不過(guò)很少，不用擔(dān)心。。。

服務(wù)器上不要安裝不安全的遠(yuǎn)程軟件如pcanywhere和radmin，如果非要安裝的話，權(quán)限設(shè)置的好一點(diǎn)。。。其實(shí)3389遠(yuǎn)程桌面的功能已經(jīng)非常強(qiáng)大了。。。
Serv-U也害人不淺，本地管理密碼記得修改得復(fù)雜一點(diǎn)。。。切記，不然你的網(wǎng)站淪陷，你的服務(wù)器也幸免于難了。。。