防患未然 了解网站后门的防范方法以及安全配置WEB安全
“斯琴杜娃”通过精心收集,向本站投稿了8篇防患未然 了解网站后门的防范方法以及安全配置WEB安全,下面是小编为大家整理后的防患未然 了解网站后门的防范方法以及安全配置WEB安全,仅供参考,欢迎大家阅读,一起分享。
篇1:防患未然 了解网站后门的防范方法以及安全配置WEB安全
虽然说亡羊补牢可以将木马后门造成的损失降至最低,但最好的方法显然是防患于未然,现在就来看看网站后门的防范方法以及安全配置。
1.后门防范基本功
首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉。
2.安全配置Web服务器
如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢?
首先要关闭不必要的服务;其次是建立安全账号策略和安全日志;第三是设置安全的IIS,删除不必要的IIS组件和进行IIS安全配置。
在 IIS安全配置时候,要注意修改默认的“Inetpub”目录路径。可以删除C盘的“Inetpub”目录,然后在D盘重建一个“Inetpub”,而后 在IIS管理器中将主目录指向新建立的“Inetpub”路径。此外,还需要删除默认的“scripts”、“print”等虚拟目录,然后在IIS管理 器中删除不必要的映射,一般情况下保留ASP、ASA就可以了。
具体方法是在“IIS信息服务”管理器中右击主机名,选择“属性”→ “主目录”标签,点击“高级”按钮,在“映射”标签中就可以删除不必要的映射了。另外,在属性窗口中选择“网站”标签,然后勾选“启用日志”,并选择“使 用W3C扩充日志文件格式”项,每天记录客户IP地址、用户名、服务器端口、方法、URI字根、HTTP状态、用户代理等,而且每天都应审查日志。
在上面的基础工作之后,还需要设置Web站点目录的访问权限,
一 般情况下,不要给予目录以写入和允许目录浏览权限,只给予。ASP文件目录以脚本的权限,而不要给予执行权限。在“IIS信息服务”管理器中展开网站的虚 拟目录,然后右键点击某个虚拟目录,选择“属性”→“虚拟目录”标签,在“本地路径”下可设置对该目录权限为“读取”或“目录浏览”等。另外也可以通过 NTFS分区格式,严格地设置用户目录权限。
而针对企业中最为核心的数据,更要加强对于Access数据库下载的防护。
篇2:防患未然 了解网站后门的防范方法以及安全配置WEB安全
当 使用Access作为后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,就可以下载这个Access数据 库文件,这是非常危险的。因此,一般情况下要更改默认的数据库文件名,为你的数据库文件名称起个复杂的非常规的名字,并把它放在比较深的文件目录下。另 外,还可以为Access数据库文件加上打开密码。
打开IIS网站属性设置对话窗口,选择“主目录”选项卡,点击“配置”按钮,打开 “应用程序配置”对话窗口。而后,点击“添加”按钮,在“可执行文件”中输入“asp.dll”,在“扩展名”中输入“。mdb”,勾选“限制为”项,并 输入“禁止”,确定应用后完成设置即可。以后,当入侵者企图下载数据时,将会提示禁止访问。
3、配置安全的SQL服务器
SQL Server是各种网站系统中使用得最多的数据库系统,一旦遭受攻击,后果是非常严重的。虽然默认的SA用户具有对SQL Server数据库操作的全部权限,但是SA账号的黩认设置为空口令,所以一定要为SA账号设置一个复杂的口令。而且,要严格控制数据库用户的权限,轻易 不要给用户直接的查询、更改、插入、删除权限,可以只给用户以访问视图和执行存储过程的权限。
在选择建立网站的Web程序时一定要注意 安全性。许多网站系统虽然功能强大,但由于编程人员的安全意识所至,存在着一些很严重的安全漏洞,比如常见的SQL注入漏洞、暴库等,都有可能被 利 用。同时,我们平时还应该做好网站服务器的数据备份,以便在出现意外时及时地进行数据恢复。
篇3:Web.config 安全相关配置WEB安全
web.config 位于根目录
1、authentication节点
基于窗体(Forms)的身份验证配置站点,当没有登陆的用户访问需要身份验证的网页,网页自动跳转到登陆网页。其中元素loginUrl表示登陆网页的名称,name表示Cookie名称
2、authorization 节点
allow 向授权规则映射添加一个规则,该规则允许对资源进行访问。
deny 向授权规则映射添加一条拒绝对资源的访问的授权规则。
users=“*” 是指任何用户 users=“?” 是指经身份验证的用户
注意: 运行时,授权模块从最本地的配置文件开始,循环访问 allow 和 deny 元素,直到它找到适合特定用户帐户的第一个访问规则。然后,该授权模块根据找到的第一个访问规则是 allow 还是 deny 规则来允许或拒绝对 URL 资源的访问。默认的授权规则为 。因此,默认情况下允许访问,除非另外配置。
如果在根目录下的web.config配置太繁琐,可以配置到相应目录下,例如User目录下的web.config文件
3、customErrors 节点
mode=“On|Off|RemoteOnly”>
defaultRedirect 可选的属性。指定出错时将浏览器定向到的默认 URL。如果未指定该属性,则显示一般性错误。
Mode 必选的属性。指定是启用或禁用自定义错误,还是仅向远程客户端显示自定义错误。
此属性可以为下列值之一。
值 说明
On 指定启用自定义错误。如果未指定 defaultRedirect,用户将看到一般性错误。
Off 指定禁用自定义错误。这允许显示标准的详细错误。
RemoteOnly 指定仅向远程客户端显示自定义错误并且向本地主机显示 ASP.NET 错误。这是默认值。
默认值为 RemoteOnly。
error 可选的元素。指定给定 HTTP 状态代码的自定义错误页。错误标记可以出现多次。子标记的每一次出现均定义一个自定义错误条件。
例如:
这里可以让用户自定义出错页。
4、pages 节点
validateRequest=“true”
该值确定 ASP.NET 是否针对危险值检查来自浏览器的输入。如果 ASP.NET 针对危险值检查来自浏览器的输入,则为 true;否则为 false。默认值为 true。
这个功能是为了防止跨站脚本等危险代码。使全局默认为true。只有小数页面,如搜索页面
Search.aspx 设为 : ValidateRequest=“false” 。为了可以搜索类似 等内容,如果只是文字性的输入,可修改页 search.aspx 的设置,以增强系统安全性。
Security.config 配置说明
文件位于config目录
1、后台页面访问配置
noCheckAdminLogOn
后台不检查权限的页面
2、检查外站链接的后台页面配置
noCheckUrlReferrer
后台不检查来源页的列表,即管理员用户可以直接访问的文件列表,
后台设置是默认不允许直接访问,这样可以保护后页页面不被非法方式访问和外站链接访问,有效防止跨站请求伪造。
如果文件不在列表中,直接在URL 里访问,将出现错误提示:
产生错误的可能原因:
对不起,为了系统安全,不允许直接输入地址访问本系统的后台管理页面。
如需要,用户可以加上自定义的内容。
3、防止跨站请求伪造追加安全码的页面配置
checkSecurityCode
页面提交时检查安全码。
防止不正常操作(恶意操作)造成系统重大损失。也是对一些重要操作的保护,防止跨站请求伪造。
如:
4、页面操作权限码的配置
checkPermissions
页面操作权限码的配置,检查后台管理员是否有相关操作码的权限。
operateCode 为操作码 根据操作码判断是否存在此操作的权限。
checkType 权限判断类型, or and
or 操作码中的权限进行或运算,即有其中任何一种权限,就返回true
这个默认值是or 而且对于单一权限码的,可以不用配置
and 操作码中的权限进行与运算,即要求有全部权限才返回true 否则返回false.
AjaxLabel.config 配置说明
是对AJAX.aspx 的文件访问权限控制配置文件。
由于前台AJAX标签过于强大,会致使 AJAX标签 会出现一些危险性,对此我们做了一个XML安全文件来配置那些AJAX标签可以直接引用。这个AjaxLabel.config 文件是在 网站根目录的Config 目录下。如果标签没有记录,就会出现 本标签禁止访问!
例如:
是指标签名 为 “内容评论PK标签” 的标签可以被ajas.aspx调用,而且参数param只能为 “generalid”,类型为Int,这样能有效防止恶意攻击。
如果用户需自定义标签,而且需要ajax.aspx 文件调用,那就在AjaxLabel.config 中配置
app_offlineX.htm 文件作用
如果你要COPY站点,进行站点维护,部署,和进行大量修改,有可能要停掉你的WEB应用程序了,而以一个友好的方式提示给用户,比如什么“本网站正在更新”等等的信息,你可以把文件app_offlineX.htm 改名为app_offline.htm(大小写没关系)的静态HTM页面文件,其中修改成你要临时显示的内容,将其放在你的应用的根目录下。这样,任何外部的请求的话,都会马上被转移到该页面了。
网站维护完成后记得将文件名app_offline.htm改回。
AllowString.xml 文件配置
文件位于Common目录下
文件的作用是:会员发表信息时启用防XSS(跨站攻击)设置时,让用户设置允许会员提交部份特殊js 代码。
XSS是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
例如:
功能是: 允许保留 nmousewheel=“return bbimg(this)” 和 nload=“resizepic(this)” 代码。这是对FCK上传图片功能的一个保留。
如用户想让系统过滤不要太严格,可在这里加上相应保留代码。
篇4:后门技术及rootkit工具Knark分析及防范WEB安全
本文讨论了Linux环境下攻击者入侵成功以后常常使用的一些后门技术,并且对最著名的rootkit工具之一?knark进行了详细的分析,并且指出了在发现系统被入侵以后如何发现是否是kark及如何恢复,
注意:本文是用于管理员学习之用,不可用于进行网络攻击否则带来的任何法律后果自行负责。本文作者不对由于本文导致的任何后果负任何责任。
一、什么是“rootkit”?
入侵者入侵后往往会进行清理脚印和留后门等工作,最常使用的后门创建工具就是rootkit。不要被名字所迷惑,这个所谓的“rootkit”可不是给超级用户root用的,它是入侵者在入侵了一太主机后,用来做创建后门并加以伪装用的程序包。这个程序包里通常包括了日志清理器,后门等程序。同时,程序包里通常还带有一些伪造的ps、ls、who、w、netstat等原本属于系统本身的程序,这样的话,程序员在试图通过这些命令查询系统状况的时候,就无法通过这些假的系统程序发觉入侵者的行踪。
在一些 组织中,rootkit (或者backdoor) 是一个非常感兴趣的话题。各种不同的rootkit被开发并发布在internet上。在这些rootkit之中, LKM尤其被人关注, 因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上, 系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹, 因为他们不能再信任它们的操作系统了。后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。
入侵者通过:设置uid程序, 系统木马程序, cron后门等方法来实现入侵者以后从非特权用户使用root权限。
*设置uid程序。 在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。
*系统木马程序。 替换一些系统程序,如“login”程序。因此, 只要满足一定的条件,那些程序就会给 最高权限。
*Cron后门。 在cron增加或修改一些任务,在某个特定的时间程序运行,他们就可以获得最高权限。
具体可能通过以下方法给予远程用户以最高访问权限: “.rhost” 文件, ssh认证密钥, bind shell, 木马服务程序。
*“.rhosts” 文件。一旦 “+ +”被加入某个用户的.rhosts文件里, 任何人在任何地方都可以用这个账号来登陆进来而不需要密码。
*ssh认证密钥。 把他自己的公共密钥放到目标机器的ssh配置文件“authorized_keys”里, 他可以用该账号来访问机器而不需要密码。
*Bind shell。 绑定一个shell到一个特定的tcp端口。任何人telnet这个端口都可以获得交互的shell。更多精巧的这种方式的后门可以基于udp,或者未连接的tcp, 甚至icmp协议。
*Trojaned服务程序。任何打开的服务都可以成为木马来为远程用户提供访问权限。例如, 利用inetd服务在一个特定的端口来创建一个bind shell,或者通过ssh守护进程提供访问途径。
在入侵者植入和运行后门程序之后, 他会设法隐藏自己存在的证据,这主要涉及到两个方面问题: 如何来隐藏他的文件且如何来隐藏他的进程。
为了隐藏文件, 入侵者需要做如下事情: 替换一些系统常用命令如“ls”, “du”, “fsck”。在底层方面, 他们通过把硬盘里的一些区域标记为坏块并把它的文件放在那里。或者如果他足够疯狂,他会把一些文件放入引导块里。
为了隐藏进程, 他可以替换 “ps”程序, 或者通过修改argv[]来使程序看起来象一个合法的服务程序。有趣的是把一个程序改成中断驱动的话,它就不会出现在进程表里了。
RootKit-Knark的历史
Knark是第二代的新型rootkit工具-其基于LJM(loadable kernel module)技术,使用这种技术可以有效地隐藏系统的信息。作者在代码和README文件中都标注有不承担责任的声明,声明该代码不可以被用作非法活动。然而该软件可以容易地被用于这种目的。
Knark是由creed@sekure.net编写的,主要基于www.dataguard.no/bugtraq/_4/0059.html中Runar Jensen编写的代码heroin.c,设计思想主要来自于Phrack 52中plaguez发表的文章Weakening the Linux Kernel“。在重新编写了heroin.c的大部分代码以后,Creed决定重新命名为”Knark“,在瑞典语中是指吸毒者。Creed编写的其他软件可以在www.sekure.net/~happy-h/得到,但是由于该站点只有瑞典语版本,因此应用并不广泛。
Knark的第一个公开版本是0.41,发布于June, 。可以在B4B0 #9中索引到它:packetstorm.securify.com/mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布,当前版本是0.59。可以从这里下载0.59版。
Knark特性
Knark0.59具有以下特性:
*隐藏或显示文件或目录
*隐藏TCP或UDP连接
*程序执行重定向
*非授权地用户权限增加(”rootme“)
*改变一个运行进程的UID/GID的工具
*非授权地、特权程序远程执行守护进程
*Kill ?31来隐藏运行的进程
联合使用程序执行重新定向和文件隐藏,入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的,因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改,因此配置检测工具在路径环境中也不会发现任何异常。
如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide,就可能实现甚至通过lsmod命令也不能发现knark的存在。
Knark软件包的安装和使用
该软件包的核心软件是knark,c,它是一个Linux LKM(loadable kernel-module)。运行命令”make“来编译knark软件包,通过”insmod knark“命令来加载该模块。当knark被加载,隐藏目录/proc/knark被创建,该目录下将包含以下文件:
author 作者自我介绍
files 系统中隐藏文件列表
nethides 在/proc/net/[tcp|udp]隐藏的字符串
pids 被隐藏的pids列表,格式类似于ps命令输出
redirects 被重定向的可执行程序入口列表
该软件包编译以后将有下面这些工具软件(它们都依赖于被加载的模块knark.o,
除了taskhack.c,其用于直接修改/dev/kmem)
hidef 用于在系统中隐藏文件
在/usr/lib目录下创建子目录hax0r,然后运行命令”./hidef /usr/lib/.hax0r“,则该目录会被隐藏,”ls“或”du“等命令都不能显示该目录及其子目录。
unhidef 用来恢复被隐藏的文件
你可以通过访问”cat /proc/knark/files“来察看你隐藏了哪些文件。通过”./unhidef /usr/lib/.hax0r“命令来解除对隐藏文件的隐藏。但是这里有个小小的bug,使得被隐藏的目录在/proc/knark/files中显示的是其加载开始的路径,也就是说如果系统有一个文件系统加载在/mnt,你隐藏了/mnt/secret,则在/proc/knark/files中显示的被隐藏的目录为/secret。因此不会影响根文件被隐藏的目录。
ered 用来配置重定向程序的执行
拷贝特洛伊木马版本的sshd为/usr/lib/.hax0r/sshd_trojan,然后运行”./ered /usr/local/sbin/sshd /usr/lib/.hax0r/sshd_trojan“,这样当/usr/local/sbin/sshd被运行时,实际上运行的特洛伊木马版本的sshd。可以通过命令./ered -c来清楚所有的可执行程序重定向。
nethide 用来隐藏/proc/net/tcp和/proc/net/udp中的某些字符串
netstat命令就不会得到指定的链接信息。通过命令/nethide ”:ABCD “可以隐藏和端口号ABCD(十六进制)相关的连接(43981 dec)。也就是对/proc/net/[tcp|udp]读取时进行”grep -v“操作。
你必需理解使用该程序从/proc/net/[tcp|udp]得到的输出的意义。假设系统运行有sshd,那么连接到本地22端口以后,运行”netstat -at“,则输出可能包含:
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 localhost:ssh localhost:1023 ESTABLISHED
现在我们来检测文件/proc/net/tcp:
cat /proc/net/tcp
则输出可能包含入下内容:
local_address rem_address blablabla...
0:0100007F:0016 0100007F:03FF 01 00000000:00000000 00:00000000 00000000
若我们希望隐藏和地址127.0.0.1相关的任何信息,我们必须使用如上面所示的十六进制的格式。因此如果希望隐藏地址127.0.0.1的22号端口相关的内容就要使用0100007F:0016来标识该链接。因此
./nethide ”0100007F:0016“
将隐藏to/from localhost:22相关的链接信息。
./nethide ”:ABCD “
来去除隐藏。
rootme 用来实现非特权用户获得root访问权限
./rootme /bin/sh
就可以实现以root身份运行/bin/sh。
./rootme /bin/ls -l /root
则是仅仅以root身份运行单个命令。
taskhack 用来改变某个运行着的进程的uid和gid
./taskhack -alluid=0 pid
该命令将进程pid的所有*uid@#s (uid, euid, suid, fsuid)为0 (root).
ps aux | grep bash
creed 91 0.0 1.3 1424 824 1 S 15:31 0:00 -bash
现在来改变该进程的euid为0:
./taskhack -euid=0 91
ps aux | grep bash
root (!) 91 0.0 1.3 1424 824 1 S 15:31 0:00 -bash
rexec 用来远程执行knark-server的命令:
./rexec www.microsoft.com haxored.server.nu /bin/touch /LUDER
这命令将从www.microsoft.com:53发送一个伪装的udp数据包到 haxored.server.nu:53,来运行haxored.server.nu的命令”/bin/touch /LUDER“
入侵者入侵以后往往将knark的各种工具存放在/dev/某个子目录下创建的隐藏子目录,如/dev/.ida/.knard等等。
检测系统是否被安装了Knark
Knark的作者Creed,发布了一个工具:knarkfinder.c来发现Knark隐藏的进程。
检查系统是否安装有Knark的最直接有效的方法是以非特权用户身份来运行Knark的一个软件包如:rootme,看该用户是否能获得root权限。由于目前Knark目前没有认证机制,因此入股系统被安装了Knark任何一个本地用户运行这个程序都能获得root权限。
还有一个最有效的发现系统是否被knark或者类似的rootkit所感染的方法就是使用kstat来检测,具体参考本站的Nexeon写的解决方案文章:检测LKM rootkit。
Knark防范
防止knark最有效的方法是阻止入侵者获得root权限。但是在使用一切常规的方法进行安全防范以后,防止knark之类的基于LKM技术的rootkit的方法是:
*创建和使用不支持可加载模块的内核,也就是使用单块内核。这样knark就不能插入到内核中去了。
*使用lcap (pweb.netcom.com/~spoon/lcap/)实现系统启动结束以后移除内核LKM功能,这样可以防止入侵者加载模块。然而这种方法存在一定的问题,入侵者可以在获得root权限以后修改启动脚本,在lcap启动之前来加载knark模块从而逃避lcap的限制。
篇5:网站安全检查列表WEB安全
不管是做什么网站,安全是首先要考虑的,而且应该是非常重视网站的安全,以前我自己鼓捣东西的时候,老是想着能把这个项目做出来就行了。可是现在想想是一个非常大的错误,对于一个非常脆弱的系统,对于一个容不得一点错误的系统,是完全没必要做出来的,做出来能有什么用。一个网站首先应该宽容用户无意间产生的失误(或者说是错误),再有就是能够防止用户的恶意攻击,还有就是做好系统地错误处理,防止暴漏不必要的信息,再就是对于错误的URL地址的处理(本不存在的URL地址,URL中传递的参数不正确,访问权限不足)。下面就简要的列举一下网站会受到什么样的威胁,然后应该怎么去防范。
1. 跨站脚本(XSS):向浏览器发送未经检查的用户提供的数据的结构。用户提供的数据的问题是它完全超出了你的控制,而且它非常容易伪造HTTP referrer的值和隐藏表单字段中的值。
所以,在处理表单时,仔细验证数据并使用“拒绝所有,允许少量”策略,也就是所谓的“黑名单”、“白名单”问题。黑名单就是把一些认为是危险的字符禁止,然后允许剩下的所有字符;白名单就是只接受我承认的字符,其他的一概拒绝。相对来说,白名单比黑明白更好,因为我们在考虑黑名单时,总会或多或少的漏掉一些东西,而且我们并不能够会想象出恶意用户会采用什么样的方法来攻击系统;而对于白名单而言,比如注册用户名,我只允许用户名为英文字符和数字,其他的一概拒绝,这样就能防止一些恶意的用户名了。 还有就是发表博客,或者论坛的帖子时,如果允许HTML标签,可能就会破坏整个页面的布局。
2. 注入攻击:SQL注入可能是我们谈论的最多的网站攻击了。防御的方法很简单,就是将从用户处接收到的数据全部转义。
3. 恶意文件执行:允许执行没有驻留在服务器删的任何脚本将使攻击者执行服务器上的任意代码成为可能。这一攻击的后果包括未被察觉的从应用程序中的数据提取或者服务器的全部泄密。恶意文件执行攻击适用于带有文件名(全部或者部分)或者带有来自于用户的文件的任何系统。
4. 不安全的直接对象引用:一种形式就是修改URL地址中参数的值,想要获取其他本不属于自己的或本不存在的信息;还有就是利用在脚本内引用文件的形式来实现。第二种情况是什么意思呢,就是说我们通过传过来的URL参数来包含相应的文件,可是如果传递的参数是恶意的,就会包含意外的文件而受到攻击。
因此,我们在使用URL地址传递过来的参数时,也应当进行相应的检查。
记住——用户提交的信息并不仅限于URL和表单参数!应当检查以确保未经检查的cookie值、HTTP请求头和HTTP内容值也没有用在脚本中。
5. 跨站请求伪造(CSRF):此种类型的攻击未经许可强迫受害者在另一个站点执行一些行为。 为了保护表单的自动提交,可创建一个在每次浏览表单时都重新生成的随机令牌,它被放置于会话变量中并位于表单中的一个隐藏字段中。提交表单时,脚本检查令牌和会话变量中的值的匹配情况,仅当表单从真实站点载入有效——如果请求来自于其他地方,页面将失效,
6. 信息泄露和错误处理不当:当脚本中有错误发生时,对攻击者游泳的信息可能会在错误信息中泄露。例如:Warning:mysql_connect:Access denied for user 'sitepoint@db.sitepoint.com'(usering password:YES)in var/www/index.php on line 12,此信息给潜在的攻击者提供了数据库服务器的名称、数据库名和用户名;类似的,输出不正确的SQL语句的错误信息给攻击者提供了一个小小的观察你数据库结构的机会。
所以,我们在网站正式上线后,应当禁止错误输出到浏览器而将错误信息记录到日志文件中。
7. 认证和会话挂历不完善:认证和会话管理不完善这个脆弱这处和对账户与会话数据保护的不充分紧密相关。如果在用户登录前劫持了会话,攻击者只需要等待用户登录就可以获取个人账户的全部控制权。
PHP提供了session_regenerate_id函数,它应在有特权级的任何改动之前使用。改动会话ID时,本质上它在维护会话数据。因此在用户登录后,哪个人救火去了一个新的会话ID,被攻击者劫持的前面的任何会话都变得无效。还应坚持PHP自己的会阿虎和cookie管理函数——不要编写自己的脚本或者使用第三方的脚本。还可采取的措施包括确保站点退出登录功能完全销毁了会话数据,并在用户不活动一段时间后自动将用户退出登录。还建议不要以明文方式在email中发送口令,或者在屏幕上显示口令。8. 不安全的密码存储:首先,就加密技术而言,不要改变自己的代码;第二。记住吐过正在使用一种打算要译码的算法加密数据,那么其他人也能够对其进行解密。
严格来说,MD5和SHA并不是加密算法(也就是说,不能解密一个MD5字符串来获取它的原始数据);它们是信息摘要算法。但是如果不需要界面一个值,使用SHA-256,它在PHP5.1.2中的hash函数中可用。如果此项不可选,可以选择稍低安全级别的MD5,可通过md5函数使用它。
9. 不安全的通信:使用明文发送敏感信息类型的数据部仅仅是坏习惯,它还是不可原谅的。例如,如果正在询问用户登录或者提供信用卡详细信息,或者应用程序导致您的服务器要和其他服务器会话,就应该使用SSL来确保通信的安全。
10. 限制URL访问失败:大多数应用程序会基于用户的特权级别来限制他们可用的链接。然而,很多应用程序的用户授权系统在那一点停止工作了,访问权限就会混乱。
要确保你的用户仅能看到他们能够使用的链接,但是也要确保在允许用户继续使用之前每个页面都要检查用户的特权级别。
其实,网站受到的攻击类型还有很多,上面仅仅是总结了常见的几种类型。
篇6:IIS6和IIS7.5网站权限配置与区别WEB安全
IIS6网站权限,通常配置IUSR_计算机名和NETWORK SERVICE两个用户权限即可:
其中IUSR_计算机名是网站匿名访问帐户,NETWORK SERVICE是网站应用程序池安全帐户:
然而,同样的权限配置,测试发现IIS7.5网站动态页面打开会出错,比较发现IIS7.5应用程序池安全帐户除了本地系统、网络服务和本地服务外,比IIS6多了一个ApplicationPoolIdentity,并且它是默认安全帐户:
这就解释了为什么网站动态页面打开会出错,然而,在Windows 用户或组中并没有ApplicationPoolIdentity这么一个用户,这权限要怎么配置?百度后有网友说它对应的用户为”IIS AppPool应用程序池名",加入后网站访问正常:
看下任务管理器中的变化:
这样相当于是有了多个NETWORK SERVICE用户,能大大降低网站被旁注的风险,
当然了,也可以将IIS7.5应用程序池安全帐户设置为网络服务,这样和IIS6.0一样配置即可,但不推荐这么做。此外,若想简单配置,只赋于网站Authenticated Users组权限也是可以的(代替匿名帐户+安全帐户,但比Everyone安全)。
篇7:网站服务器的安全配置
首先讲网络安全的定义:
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。
网络安全的种类很多,这里单讲网站服务器的安全配置,有效防范服务器被入侵。
一 主机的安全配置
1.装杀毒软件、防火墙、这些都是必备的也是基本的,还有就是勤打官方的补丁。
2.推荐几款安全工具,360安全卫士能扫描你系统的漏洞,然后下载补丁修补,间谍软件,恶意插件,靠他查杀。
冰刃 系统分析特别强,分析系统正在运行的程序 ,开放的端口、内核模块,系统启动加载的软件、开放的服务,等等功能十分强大 可以辅助管理员查找木马。
3.做安全配置首先将:net.exe,cmd.exe,netstat.exe,regedit.exe,at.exe,attrib.exe, cacls.exe,这些文件都设置只允许administrators访问。
还有将FTP.exe TFTP.exe
这样命令黑客可以执行 下载黑客电脑的木马 安装到服务器 所以要改名把135、445、139、这些端口都要关闭
4.在“网络连接”里,把不需要的协议和服务都删掉,只安装了基本的Internet协议 (TCP/IP)在高级tcp/ip设置里-- “NetBIOS”设置“禁用tcp/IP上的NetBIOS。
5.把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
6.在屏幕保护,勾选上在恢复时使用密码保护,万一系统被黑客链接上 他不知道帐号密码也是没用的。
7.系统自带的TCP/IP筛选只开发你需要的端口,比如你只开放WEB服务和FTP服务,那么你就用TCP/IP筛选把其他端口过滤掉,只开放80和21端口。这样就减少许多比必要的麻烦黑客就不会利用其他端口入侵你了。
篇8:网站服务器的安全配置
1.你的WEB服务哪些目录允许解析哪些目录不允许解析 。比如存放附件的目录很容易让黑客在前台上传木马,黑客会利用得到管理员权限后,利用后台的一些功能 把附件改名为.ASP或者其他。 如果Web服务器解析了这个目录的话就会执行黑客的网页木马,所以放附件的目录,或者没有其他无执行脚本程序目录,应该在Web服务器上设置这些目录不能解析
2.就是你这套整站程序是什么整站系统的.的,要常关注官方的补丁 勤打补,你用的那套WEB系统有什么漏洞,如果有漏洞请及时修补.
三,防止ASP木马在服务器上运行
1、删除FileSystemObject组件
2、删除WScript.Shell组件
3、删除Shell.Application组件
4、禁止调用Cmd.exe
关于如何删除由于时间关系我就不详细说了
还有就是FTP服务器,大家千万不要用SERV-U
SERV-U一直以来有个大漏洞,攻击者可以利用它,创建一个系统管理员的帐号,用终端3389登录。
四,注入漏洞的防范
1、 ASP程序连接 SQL Server 的账号不要使用sa,和任何属于Sysadmin组的账号,尽量避免应用服务有过高的权限,应使用一个db_owner权限的一般用户来连接数据库。
2、WEB应用服务器与DB服务器分别使用不同的机器来存放,并且之间最好通过防火墙来进行逻辑隔离,因为除了有程序在探测 sa 没密码的SQL Server,SQL Server 本身及大量的扩展存储过程也有被溢出攻击的危险
3、数据库服务器尽量不要与公网进行连接,如果一定要直接提供公网的连接存储,应考虑使用一个不是默认端口的端口来链接
4、SA一定要设成强悍的密码,在默认安装Sql时sa账号没有密码,而一般管理员装完后也忘了或怕麻烦而不更改密码
5.DBO可以差异备份.列目录.SQL用户不允许访问硬盘也要设置.删除XP_CMDSHELL等SQL组件.为了防止EXEC命令执行.
6、不要使用IIS装好后预设的默认路径InetpubWWWRoot路 径.
7、随时注意是否有新的补丁需要补上,目前SQL2000最新的补本包为SP4。
8、使用过滤和防注入函数来过滤掉一些特殊的字符 ,比如单引号'一定要过滤掉。
9、关闭IIS的错误提示 以防止攻击者获得ASP的错误提示.
五,防范DDOS分布式拒绝服务攻击
黑客还会利用DDOS分布式拒绝服务攻击,发送半链接数据包把你服务器攻击直到无法访问。SYN攻击是最常见又最容易被利用的一种攻击手法。 记得2000年YAHOO就遭受到这样的攻击。SYN攻击防范技术,归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防范.但必须清楚的是 ,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,除非将TCP协 议重新设计。
1、过滤网关防护
这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关。防火墙部署在不同网络之间,防范外来非法攻击和防止保密信息外泄,它处于客户端和服务器之间,利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置,SYN网关和 SYN代理三种。
2、加固tcp/ip协议栈
防范SYN攻击的另一项主要技术是调整tcp/ip协议,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。 tcp/ip协议栈的调整可能会引起某些功能的受限,管理员应该在进行充分了解和测试的 前提下进行此项工作。为防范SYN攻击,win2000系统的tcp/ip协议内嵌了SynAttackProtect机制, Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。默认情况下,Win2000操作系统并不支持 SynAttackProtect保护机制,需要在注册表以下位置增加SynAttackProtect键值:HKLMSYSTEMCurrentControlSetServicesTcpipParameters
3.增加最大连接数
六,防范ARP欺骗,其实现在方法比较多了下面只谈一种手工的防御方法
1.计算机IP地址与MAC绑定
在CMD方式下,键入以下命令:
ARP-s IP地址MAC地址
例: ARP-s 192.168.1.100 XX-XX-XX-XX-XX 这样,就将静态IP地址192.168.1.100与网卡地址为XX-XX-XX-XX-XX的计算机绑定在一起了,即使别人盗 用您的IP地址 192.168.1.100,也无法通过代理服务器上网。
2.交换机端口与MAC绑定
登录进入交换机,输入管理口令进入全局配置模式,键入命令:
(config) #mac—address—table static<MAC地址>vlan<VLAN号>interface<模块 号/端口号表>该命令可分配一个静态的MAC地址给某些端口,即使重自交换饥,这个 地址也仍然会存在。从此。该端口只允许这个MAC地址对应的设备连接在该端口上送行 通信。用户通过注册表等方式更改MAC地址后,交换机拒绝为其通信。
3.Linux下ARP绑定
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
执行arp -f
补充:
6.组件和权限
攻击者现在拥有一个系统的帐号.你完全不用害怕他会改动你的IIS组件内设置.你可以把INTER信息服务设置一个密码.然后把系统*.msc复制到你指定的一个文件夹.再设置加密.然后只允许你的帐号使用.接着隐藏起来.那么攻击者改不了你任何组件.也不能查看和增加删除.Wscript.shell删除. Net.exe删除. Cmd.exe设置好权限.所有目录全部要设置好权限.如不需要.除WEB目录外.其他所有目录.禁止IIS组用户访问.只允许Administrators组进行访问和修改.还一个变态权限的设置.前面我已经说了MSC文件的访问权限.你可以设置Admin,Admin1,Admin2……,admin只赋予修改权限,admin1只赋予读取和运行权限,admin2只赋予列出文件夹和目录权限,admin3只赋予写入权限,admin4只赋予读取权限.然后每个帐户根据需要分配配额.这样的话.就算有VBS脚本.删除了NET.EXE,对方也提不起权.如果是没运行权限的用户不小心启动了攻击者的木马.那么也没权限运行和修改.Windows提供了屏幕保护功能.建议大家还可以安装一个第三方提供的屏幕保护锁.那样你的系统又可以多一重安全保障.建议大家千万不要使用Pcanywhere等软件.除非你权限设置通过自己的测试了.Pcanywhere有一个文件系统,如果权限没分配好,用户可以通过PCANYWHERE的文件系统,在启动项写木马.然后等待你登陆.大家没这需要.建议就用默认的3389就好了.端口就算改了别人也可以扫出来.还不如就用默认的.攻击者在获得你系统权限并登陆到3389以后.你的第二道安全锁(第三方系统锁)把他死死的锁在外面了.这样别人就进不了你系统了.记住.千万不能乱开权限.不然后果不堪设想.如果是独立服务器.没必要使用WEB时,请把多余的IIS等服务关闭.以免引起不必要的损失.用优化大师禁止远程注册表的访问那些.还有IPC空连接.
【防患未然 了解网站后门的防范方法以及安全配置WEB安全】相关文章:
1.win Web服务器安全配置与安全配置方法linux网页制作
3.安全防范警句
5.升级flash插件,防范Flash动画恶意链接WEB安全
8.安全防范整改报告
9.安全防范教学反思
10.校园安全防范心得
文档为doc格式
