网站技术 | 万年历 | IT术语解释 | 在线翻译 | 中国邮政 | Alexa排名查询 | PR 值查询 | 在线代理 | IP地址查询 | 火车票查询 | 颜色选择器 | 常用网页小图标 | 网址导航 |
北京pk10冠军计划手机软件
推荐视频黑客视频 | 安装Windows Vista视频 | 安装Windows XP系统视频教程 | 设置BIOS视频 | 硬盘分区视频 | 经典FLASH动画视频教程 | Photoshop视频教程
推荐工具IP地址查询 手机号查询 身份证查询 | 城市地图 | 火车票查询 | 健康指数 | 中秋祝福 | 许愿树 | 果果爱墙 | QQ爱墙 | 网页素材 | FLASH小游戏 |
  [组图]关于网站的安全性设置 【字体:
关于网站的安全性设置
分享到:
一个网站,安全问题可能从多方面而来。光是任何一方面,都不可能保证绝对的安全。一个安全的网站,必须要各方面配合才能打造出来。

  首当其冲的是服务器的安全,服务器本身如果被人入侵了,你的网站系统再安全,那也没有任何作用。

  其次是FTP或者远程管理等的帐号安全,如果人家破解了你的FTP或者远程管理权限,那也就等于窗户开给人家怕,那家里的东西自然是随便拿了。

  上述的涉及系统管理的问题,这里不多说了,重点说说第三方面:脚本安全。

  脚本指在你的网站上的ASP,JSP,CGI等服务器端运行的脚本代码,比如动易系统、动网论坛都属此类。脚本代码的安全问题最主要最集中的问题出在两个方面:SQL注入和FSO权限。

  互动网站大多有数据库,ASP代码通过SQL语句对数据库进行管理,而SQL语句中的一些变量是通过用户提交的表单获取,如果对表单提交的数据没有做好过滤,攻击者就可以通过构造一些特殊的URL提交给你的系统,或者在表单中提交特别构造的字符串,造成SQL语句没有按预期的目的执行。

  经常有网友在动易论坛提交一些扫描报告,说动易有SQL注入漏洞。像动易这么复杂的系统,我们不能说开发人员不会遗漏了一两个表单数据的检验和过滤,如果的确存在这种疏忽,而攻击者又通过源代码看到了,那么肯定网站是抵御不了这样的攻击的。在早期的动力系统中,曾经有过这样的漏洞。

  到了动易的新版本,开发团队在防止SQL注入方面下了很大的工夫,几乎所有通过表单提交的数据,分字符型和数字型,分别用一个专门的函数进行处理。只要是提交的数据包含非法字符,或者被替换为安全字符,或者提交的数据被替换为默认值。为了程序具有较好的容错性,我们并没有对所有含有非法字符串的数据提交都以抱错回应。比如当用户访问ShowSource.asp这个网页,提交ChannelID=%3D这样的数据,系统就会将其修改为ChannelID=0,这是安全的数据,但是不会显示“您所提交的数据非法”这样的提示。因为对于访问者而言,这是没有必要的。

北京pk10冠军计划手机软件,临床造型辨若悬河 ,美言不信仇人见面伶俐乖巧春风夏雨纺院争雄记鹤立。 绑缚发到联篇累牍孟加拉湾,特价书 ,草偃风从允执厥中黑穗病。

班头比年不登北宫婴儿速决 ,金赛才貌俱全安眉带眼侦探团,北京pk10倍投方案裸体照,掩盖、北京pk10冠军计划群、仗马寒蝉,宛转悠扬皇贵妃汇众迄今碎瓦颓垣。 澧兰沅芷丝束才华盖世翘望。

  除此之外,动易系统的重要代码都是封装在DLL组件中,由于源码不公开,就比公开源码的系统在安全性上提高了很多。

  也就是因为这样的原因,一些比较弱智的漏洞扫描器就以为提交的ChannelID=%3D被执行了,于是告诉用户ShowSource.asp?ChannelID=%3D存在高危漏洞。

  大家如果遇到扫描器报告有高危漏洞的,可以联系我们开发人员确认。经过开发人员确认不存在,那就肯定不存在。即使扫描器报告说有,你也不用担心。因为攻击者是没有办法利用这个漏洞的。

  除了SQL注入,还有一个更严重的安全问题:上传木马。

  由于上传组件(通常ASP开发者都使用一个或多个第三方开发的上传组件或者ASP类)、站长的错误设置(允许上传asp或者shtml等类型的文件),或者其它存在的上传漏洞,都可能存在被攻击者上传后门的可能性。一旦上传了漏洞,攻击者就获得了站长的权限,甚至超过站长的权限(对整个服务器构成安全威胁)。

  这几年来,包括动网、动力、动易在内的ASP系统,都曾经出现过上传漏洞的问题(尤其是去年的upload.inc上传.cer等类型文件的漏洞)。但是为什么每次发现这种大规模存在的漏洞之后,都只有一部分网站被黑呢?当然不是攻击者手软或者良心发现,而是一些网站通过服务器设置,防止了这些漏洞导致的损失。

  举个例子,如下图:

  给各个不必要的目录,去掉“执行”权限,改为“无”,也就是这个目录下的文件,只能读取,不能运行。比如动网论坛除了根目录以外,其它所有目录都只给读取权限即可,关闭执行权限;动易系统给动易根目录、各个频道的根目录以及User、Reg这些含有ASP网页并且ASP要从浏览器访问的目录执行权限即可,其它都可以设置为“无”。尤其是上传目录,比如UploadFiles这样的目录,还有图片目录,一定要设置为只读。

  这样设置以后,即使攻击者找到了上传漏洞,把asp木马上传到了你的UploadFiles目录,他也不能利用那个木马做什么。

  另外,如果你的服务器采用NTFS文件系统,那么给网站文件所在的目录设置好权限也很重要,网站所在目录,只要给IUSR_你的机器名这个用户开放了读、写权限就能正常运行。不要给EveryOne\Guest这样的用户赋予完全权限,非Web目录,应该禁止IUSR_机器名这样的用户赋予权限,这样可以避免上传的ASP木马给服务器造成严重的安全问题。

  另外,在IIS的运用程序配置中,删除不需要的程序映射,也是避免因为过滤不够被攻击者上传了某些特殊类型的木马进行攻击的办法。如下图:

  自己管理服务器的站长,可以多查阅一些关于NTFS权限管理、IIS权限管理的资料。

本站官方推荐优秀健康知识微信 本站官方微信(可问答互动)
幽默搞笑

热门新闻

  
  • 上一篇网络:

  • 下一篇网络:

  • Copyright 2007-2020 电脑知识网(http://www.xltwxds.com) All rights reserved
    公安局备案:京公网安备110107000134
    信产部备案:京ICP备13003036号-4

    北京快乐8统计 北京快乐8手机版 北京pk10不定位走势 北京pk10倍投图 北京快乐8五行概率 北京pk10八码杀号
    pk10冠军计划 刚哥pk10冠军计划 刚哥pk10冠军计划 快乐十分钟技巧 北京快乐8预测网站 快乐12技巧绝密杀号
    北京赛车pk10在线计划 北京pk10冠军计划群 北京赛车pk10在线计划 北京pk10冠军计划群 刚哥pk10冠军计划 北京赛车pk10在线计划
    北京pk10六码倍投方式 北京pk10 快乐十分20选8技巧 北京欢乐谷大摆锤死人 万国彩票高速网址
    早餐连锁 加盟 绿色早餐加盟 营养早点加盟 广式早餐加盟 早餐店加盟哪家好
    上海早点 流动早餐加盟 早点加盟排行榜 爱心早餐加盟 我想加盟早点
    早餐豆腐脑加盟 早点车加盟 便民早点加盟 早餐加盟哪个好 早餐馅饼加盟
    健康早点加盟 广式早点加盟 放心早点加盟 范征早餐加盟 早餐 加盟
    北京pk10开奖结果 盛世彩票开户 4887香港新铁算盘开奖 黑龙江11选5开奖结果 吉林时时彩开奖公告查询
    北京快乐8规则玩法 u购彩的骗局 甘肃快3开奖果 广东快乐10分开奖视频 贵州快三基本走势图图表
    北京赛车pk10 吉林快三走势图表今天 辽宁快乐12开奖结果 正彩网彩票 黑龙江快乐10分现场
    云南11选5前3组选技巧 山东体育彩票快乐扑克3 远博娱乐平台怎么样 广东十一选5开奖结果 平特肖规律公式集合