文章內(nèi)容

網(wǎng)站和服務(wù)器的安全知識

發(fā)布時間: 2012/7/26 16:49:55

作為站長，網(wǎng)站的安全有多重要應(yīng)該都清楚的吧，可是網(wǎng)上還是有那么多的網(wǎng)站不堪一擊。。。
網(wǎng)站的話，如果用access數(shù)據(jù)庫，一定得把數(shù)據(jù)庫地址搞復(fù)雜點。。。
后臺，也一樣，不能讓別人猜到。。。記得有牛人說過“能找到后臺的網(wǎng)站，要么很安全，要么很不安全”
為了安全起見，修改后臺目錄是很必要的。。。
調(diào)用數(shù)據(jù)庫，很常見的漏洞就是sql注入了，現(xiàn)在網(wǎng)上有很多菜鳥工具來利用這個漏洞，很多菜鳥黑客也能輕松入侵幾個網(wǎng)站了。。。
網(wǎng)上很多網(wǎng)站系統(tǒng)都有注入，尤其是一些小型企業(yè)站的系統(tǒng)。。。不過好多都用了通用防注入程序，但是通用防注入，防不住cookies注入，所以我們要升級通用防注入程序了。。。網(wǎng)上有很多防注入的程序。。。這里我也送大家一個，是網(wǎng)上下載來的，怎么用？直接調(diào)用這個文件就行了。。。像調(diào)用數(shù)據(jù)庫連接文件那樣。。。哪個文件調(diào)用？可以是有注入漏洞的那個程序，也可以是...自己想。。。
還有一個嚴(yán)重的問題就是跨站，尤其是XSS盜取cookies，別小看這個，在國內(nèi)這個問題很嚴(yán)重。。。我也不多說了，而且很多大型的程序如DZ也會時不時的爆出跨站漏洞。。。

很多站長都有自己的服務(wù)器，服務(wù)器安全也是很關(guān)注的吧。有一種入侵技術(shù)叫做旁注，就是說從你的服務(wù)器上的另一個網(wǎng)站入手，來拿下你的網(wǎng)站的權(quán)限。。。這種事都發(fā)生在服務(wù)器安全不好的時候。。。
虛擬主機的安全設(shè)置都很不錯，每個網(wǎng)站都有獨立的windows低權(quán)限用戶，咱們也可以這樣設(shè)置：

C,D,E...盤的根目錄只保留system和administrators完全控制，C盤一些地方用附件的批處理設(shè)置。。。
比如我的網(wǎng)站[url]http://www.qdtrip.net/[/url]放在D:\wwwroot\qdtrip\web\文件夾下，我們新建一個用戶qdtrip，添加進guests組，刪除默認(rèn)的users組。
然后在D:\wwwroot\qdtrip這個目錄上右鍵，屬性，保留system和administrators組的完全控制權(quán)限，然后再添加qdtrip這個用戶的完全控制權(quán)限。。。
然后在IIS中設(shè)置匿名訪問用戶為hengheren，就這樣，簡單的安全設(shè)置就好了
wscript.shell這個組件沒用，可以弄掉。。。具體看附件的txt文件。。。還有服務(wù)器的安全設(shè)置，參考附件內(nèi)的bat文件，亦可直接在服務(wù)器上運行。。。
03服務(wù)器以前有個ODAY，用那個叫做“巴西烤肉”的黑軟可以通過guest權(quán)限把自己提升為system權(quán)限，奇怪的是有些打了全部補丁的機器還是有這個漏洞，我也不知道為什么。。。不過很少，不用擔(dān)心。。。

服務(wù)器上不要安裝不安全的遠程軟件如pcanywhere和radmin，如果非要安裝的話，權(quán)限設(shè)置的好一點。。。其實3389遠程桌面的功能已經(jīng)非常強大了。。。
Serv-U也害人不淺，本地管理密碼記得修改得復(fù)雜一點。。。切記，不然你的網(wǎng)站淪陷，你的服務(wù)器也幸免于難了。。。