Web服务器安全方案

1、Web服务器安全方案原创+总结Sk |小窗U*00W180 23:32 to 7092huzhangyou2002 £*Windows CE 怜系关Web【：伶器安全方案对F web服务器的安全.大的方而I.耍ft在F两个方而：1：系统木身的安全2小eb程序的安全下而我貝体的说说这两个方面的问題：fi先足系统本身的安全.我详细的说下.(Il Ftt/fl windows系统的人比牧E所以相对来说.该系统的瀉洞也就会比牧多问时张得些简单攻击的用门也比牧多.我们需要做 到如下方面：1：给蘋统打上厳新的所补丁这个可以k microsoft网站去更新系统.注意一定I.所有的补丁.2：尽笊给系

2、统安装个防火站这甲.我推行哉舫火墻.址俄田人為的获时了月麻大奖.J!体她如何好奴楙不介绍名称为blackice(黑冰)呃仔两种版本.server的和普通pc的.如果对于脱务话.推行我们使用server的版本.3：尽处给系统安装个好的杀碓软件.遛免一些简单的辆毒的入侵半然说实话PT書的納湃杀湃软件是没仃用处的.只能避免简单的 而已.我vm-依恢的兀实还足个好的防火堆.这里跚星正版的软件相对來说还足比较好的.至于国外的卡巴斯展还足非命岀色的.4：停11. server 01.该服务捉佻RPC支旅 文件.打印以及命名管道共享.(net stop server,在”开始”管理匸具-服务”屮把serve

3、r 眼务停止并改为于动或劇.)冲独刑除共享的方法 net share ipc$/delete5： JI net share 令确认默认的共享(ipc$rc$/d$.admin$/system$)已经删除伍看戸工设M的共享別除不鬲要的共享.最好全部制 除6：停 11 TCP/IP Services 服务.该服务支特以下 TCP/IP 服务：Character Generator, Daytime, Discard Echo,以及 Quote of the Day.它对应衣个晞【】如7917：?“J能导致DOSDDOS)攻击.7：用net start命令企看启动的服务.确认停1上所有不必要的眾务.

4、特别足：停止telnet, ftp服务爼8：用net user和rwt localgroup命令点看异滋的用八和本地组删除或禁用不必要的帐Vaguest Jusr.hostname仝用扫描工具检査开放的可疑渤口盘找木马.(这里我门可以使用 谱软件比如开放端【伽软件來査看本脳务番所有开放的端口. 软件名称为：Active ports还存可以使用些打描匸具比如superset或齐更加强大的GFI Languard scan软件來件找冷服务器的 些弱的關洞还有端口.)10：禁止般用户从网络访问计算机.在管理I：具本地安全策略用户权利指派拒绝从网络査陆计算机中设工11：尽可能少且尽可能少用来登录：说明

5、：网站帐兮一般只用來做系统淮护.多余的帐兮一个也不要.因为参一个帐兮就会多一份被攻破的危险12：除过Administrator外.仃必娶再增加个展管理彷组的说明两个管理员组的帐号.方而防止管理员一旦它记个账号的口令还育一个备用帐切另方而“黒客攻破个帐号并更改口 令.我心还脊机会巫新在短期内取得拧制权13： Administrator 命名.改为一个不易猜的名字其他澈帐号也庖舜術咎尿則-可以在安全策略中进行设立修改14：将Guest帐号禁用.同时起命名为个复余的名字.墩加口令.并将它从Guest组蒯掉：说明有的黑客工具疋足利用T guest的和点可以将帐号从一股用户提升到管理员组15：给所育用户

6、帐号个复杂的口令(系统帐号岀外).K度耐少在8位以上.11必後同时包含字母、数益 待殊字符问时不要使用 大家熟悉的单诃(ftOmkrosoft).熟悉的泄盘顺用(toqwert).熟悉的数字(ftl 2000)等.说明：口令足黑客攻曲的巫点.口令披夹破也就无任何系统安全可古了而这往往足不少网管所忽视的地方.朋我幻的测试仅字 母加数了的5位口令在几分钟内就会被攻破而所推荐的方案则耍安全的16：在帐号屈件中设、Z锁定次散比如改帐号失敗&录次敌駁过5次即锁定改帐廿.这样町以防止荣屿大規松的衣录次试冋时也使管 理员对该帐号捉高咎恸（也足在安全策略中修改具体的自己仓资料.这篇文章就不介绍了m加强

7、日志审核：说明:H.任何包括邪仟厲石霁屮的冈用、集统、安全H屯IIS屮的WWW. SMTP. FTP IQ、SQLSERVER 11.1；从中对以右出栗 些攻击迹象闵此每天白看日怎足保证系统安全的必不可少的环节.安全口志缺省足不记录.帐号审核可以从城用八管理器一观則一 审核屮选择描标:NTFS中对文件的审核从资源管理器中选取要注童的-点足.只需选取你真正关心的描标就可以了如果全选.则记 录数目太大.反而不利于分析：另外太多对系统资源也足一种浪费.is： tn强数雄备份：说明：这点茸帘就耍姑点的核心足数抠数棚 几追到破坏后果不堪设想.而这往往是黑客们丸止关心的东西：1S憾的足.不少网 管在这一点

8、上作的井不好.不足爲份不龙全.就足备份不及时.ftl«8r份3S耍仔细计划制定出个策咯井作了测试以后才实施而且 毬笛网站的更新.备份计划也需菱不断地谓型.19：只保阳TCP/IP协议.別除NETBEUI. IPX/SPX协议：说明，网站需耍的通讯协议只有TCP/IP.而NETBEUI足个只能用F局域网的协议IPX/SPX足而临洵汰的协议.放在网站上没仔任何 用处.反而会被某些黑客L具利用.20：停掉没冇用的服务只保留网站有关的服务和服务器栗些必须的脳务.说明:有些脳务比如RASfiH务、Spooler H务等会给熬客带來可乘Z机.如果确实没有用处建议禁止掉冋时也能节钓谱系统资湫 但要

9、注盘有些服务足慄作系统必须的服务建i文在停悼IW俊阅冊助文档并酋先在测试服务器上作下测试.21：隐藏匕次査录用户名修改注册发Winnt4.0：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent Vers»onWinlogon I1 jfltll DontDisplaytastUserName将丿（ft 设为 K Windov/s2000 V该项己经存在.只需为1说明：缺省悄况下上次登录的用户名会出现在登录惬屮这就为黑客猜测口令捉供了线索.耐好的方式就足隐藏I:次登录用户名.（M 样可以在安全策略中进行配51）22：关闭井删除默认站

10、点:攻认FTP站点就认Web站点訝理Web站点上而的部分资料來自互联网共余的为本人所写.半然出我们发现机器可能逍到攻击的时候我们的处理方糸我以后写出.这里就不介 绍了.然后就足web程将的安全了架设在windows F的服务器这里所讨论的住畴只足HS.所以不讨论Apache. IIS支持的为. 对于 不是非常了解.方承我就少说点.对于asp程序.我只体的说下.目前因为很多开源的web网站的代码,如果细心的程序员轶会发现那些代码里而存在很参的濡润比如简单的注入補洞.还有些非常 简单的上传功能可以上传脚本文杵.然后攻击者可以直接执行这些上传的屛本.达到一些他的的目的比如瀕加系统用户.或音IH除服

11、务器文件.还育修改主页等答这些都是蓉常简单的滿对但足确不被些粗心的coder注慰.我们作为网络的管理员.在配監完了一 个wwb以后我们風该做一次入侵检测的.这个有专门的软件.他可以检测到-些简单的注入.或者代码鴻洞还育系统的些缺陷.A 体的软件名称自己去査询一下下而我具体的说说些8；要注慰的何趣了（対于一些比较早的泻洞我就不说了.现在的系统大部分都不存在这些iWiW r）:1： ACCESS mdb数|«库仃可能被卞铁的JW涧问世描述：在用ACCESS熾垢台敌堆冷时.如果彳j人通过并种方法知道戒者刑到了限务器的ACCESS数协陆的路径和数掘曲名称那么他能够下找这个ACCESS賀掘库文

12、件.这足非常危险的.比如 如果你的ACCESSbook.mdb放在虚拟目录下的database目录下那么有人在測览器中打入：http:/someurl/database/book.mdb如果你的book.mdb故期库没仔"先加密的话.那book.mdb中所育电要的敌IK都宰握在别人的T中.解决方法，(1) 为你的数細文件名称起个复朵的非常规的名字.并把他放在菲常规H录下.所1T曹常规”.打个比方：比如有个数期库要保存 的足育关书弼的倍息.可不要把伦起个”boolcmdb”的名字.起个怪怪的名称比如d34ksfslf.mdb再把他放在如./kdslf/i44/studi/的几 层H录下

13、.这样黒客耍思通过猜的方式得到你的ACCESS敌朋必:文件秋堆I:加靠r(2) 不要把敌梱碎名写在程序中.仃些人总欢把DSN写在程用屮比如：DBPath = Server.MapPathCcmddb.mdb")conn.Open "driver=Microsoft Access Driver (*.mdb);dbq=" & DBPath假如万一给人黑到了源程序你的ACCESS数棚侔的名字就一览无余.因此建议你忘ODBC电设徂敎棚龈 评在程烬中这样写： conn.open "shujryuan"便用ACCESS來为数朋库文件堀珂及加氛 为

14、先在选IJV«全加密/解密故IK麻选取故他廉如：employer.mdb) 然后接确定樓行会出理故朋库加密后另存为-的窗门存为gmployerl.mdb接行emptoya.mdb锹会被編码然后存为employerl.mdb.妾注恿的足.以上的动作并不足对数掘库设沈密码而只足对数1«用文件加以編码.II的足为了防I匕他人使用别的匸具来任石数|« 库文件的内客.接下來我们为敎妁仙喘向先以打开经过綸珂了的employerl.mdb.在打开时选择”加:”方心然后选取功能农的'I.只女全 设53数朋用潸5T接着軸入密码即可.为employerl.mdb设JZ密叫Z后

15、樓下来如果再使用ACCEES故棚條文件时.則ACCESS会先矣求输入潸码.驹证正确后才能窮启 动数朋库.不过菱在ASP程用中的connection对的open方法中增加PWD的苓数即可.例虬param=Mdriver=Microsoft Access Driver (*.mdb);Pwd=yfdsfs*'param=para m& "dbq="&server.mappath"eniployerl.mdb")conn.open param这样即使他人得到了 employerl.mdb文件没育密码他足无法看至:employerl.md

16、b的.2： ASP崔字密码0证iW涧漏河描述：很多网站把糸硏放到数號用中.在甥陆验证中用以卜 sql,(以asp为例)sql="select * from user v/here usemame=,"&username&"Snd pass"& pass &"此时您只要W. sql构造个转殊的用户名和密码.如：ben* or就可以逬入本来你没育转权的页而.评來石看上而那个语句吧：sql="select * from user where usemame=,H&usGmamw&"S

17、nd pass=,H& passSt*"此时.您只要根«C sql构造个倚殊的用户名和密码.如：ben1 or这Ff 畀¥亍辂会变成这样：sql=,select*froni username where username="8cben or'l'=l&"and pass="&pass&Mor足个逻轿运贰符，作用足在判断两个条件的时候！要其中个条fT成匚那么答式将会成、Z而在讥古中，足以1來代农九的(成宜)那 么在这行诰旬中屈语句的怙nd"验证将不再继续而冈为和0岭语句返回为眞也

18、.另外我心也可以构造以下的用户儿usemame=,aa' or usernameo'aa'pass='aa' or passo'aa'相內的在浏览番iffl的用户名桓内写入:aa* or usernameo'aa 口令枢内写入：詔or passo'aa,注意这两个扌符串两头是没有'的. 这样就可以成功的曙过系统而进入.后一种方法理论加然如此但要实践足II：帘困晞的下面两个条件林必须只备.1.你首先要能够准确的如迫系统在农屮楚用珈两个丫段存f用户纟和口令的.只育这样你才能准确的构造出这个进攻性的字符:忙 实际上这疑很

19、难猜中的.2 系统对你输入的了符串不进行仃效性检亿问世解决和建议：对输入的内容验证利号的处理.这个育点类似sql注入了.3： IIS4或者IIS5中安装仆INDEX SERVER服务会漏洞ASP液程序问世描述：在运行IIS4或寺IISS的Index Server.输入特燃的了符恪兀可以看到ASP换稈厅或石兀它页而的柠用贰至以及添打了最近关于多 竹煉代码的补程用的系统或右没J.htw Z件的系统-样存在该问徵iO?asp程序此至global.asa文件的炼代码.无疑对系fit 足一个菲常巫大的安全隐臥往往这些代码中包含了用户密码和ID以及数無库的憑路径和名称等张这对干攻击苟收集呆统佶息.进 行下

20、一步的入侵林疑非常巫要的.通过构建下而的特殊程洋可以多右该程烬源代硏：http:/sourceurl/null.htw?OWebHitsFile=/default.asp&CiRestnction=none&CiHiliteType=Full这样只是返旦些html格式的文件代码.但是出你潘加20 fiJOWebHitsRle的歩数后面.如下: http:/someuri/null.hhv?CiWebHitsFile=/default.asp%20&CiRestnction=none8iCiHiliteType=Full这将获得该程序的源代码.（注恿：/default.a

21、sp 以wwb的根开始计勲 的集站点的http:/welcome/welcome.asp那么对网就如 http:/someuri/null.htw?CiWebHitsFile=/v/ekome/welcome.asp%20&CiRestriction=none&CiHiliteTyp=Full ）由于nul.htw-X件并IE荊E的系统映射文件.所以只足个摘存在系统内存中的虚拟文件哪怕你已经从你的系统中刑除了所有的 真实的htw文件.但是由干对null.htw文件的诚求默认webhits.dll來处理.所tl. IIS仍然收到该漏涧的威勝.问世解决或肴堆议：如果该webhits

22、促供的功能绘系统必須的.诉下拔相应的补程叭 如果没必耍请用IIS的MMC管理L具简单移除htw的映象文 件 补丁程序如下：Index Server 2.0:Intel:http:/vAAlpha:http:/vAIndexing Services for Windows 2000:Intel:http:/vA 177264：具体说说两个如何防止sql注入的方法（代码来向互联网）：过滤提交农单屮的SQLfunction ForSqlForm()dim fqys,errc,i,itemsdim nothis(18)nothts(0)="net user'*nothts(l)=&q

23、uot;xp_cmdsheir nothis(2)=7add"n othis(3)="exc%20masterdboxp_crT>dsheirnothts(4)="net localgroup administrators'* nothis(5)="select*nothts(6)=,count"nothis(7)="ast"nothts(8)="char"nothts(9)="mid"nothis(10)=,"n,noth 15(11)=":&quo

24、t;nothis(12)=,H,Hnothis( 13)="insert"nothts( 14)=delete"nothts( 15)s *dropMnothts( 16)=truncate'*nothis(17)="frofn"nothis(：L8)=W"nothis(19)="Herrc=falsefor i= 0 to ubound(nothis)for each items in request.Formif instr(requstForm(items),nothis(i)v aO thenresponse.writeC*)response.write("你所填写的& server.HTMLEncode(request.Form(items) &含非法字符: & nothts(i)respo nse.writw(”)response.writeC' H不起伤所填写的fg息含菲法字符!返回)response.En