[分享][轉貼] 關於WEB安全的一些研究心得整理


最近研究安全會比較多,整理了一下,不像以前那么凌亂了 
服務器與WEB的安全,總體歸納也就是權限與策略這兩個核心內容 

PS.純屬個人心得,寫的不好勿罵,多少還是有點用的

服務器方面 
1 首先是要NTFS格式,並減少user之類用戶的權限,FAT32格式的磁盤沒有權限設置,也就沒有安全可言 
2 其次是補丁要全,否則服務器中了木馬,那什么都是白搭 
3 接着是禁用危險的組建和服務項,這個比較難,如果是簡單的應用還好說,如果服務器里跑着比較糾結的程序,很可能就會因為禁止了某些組件或服務導致無法運行,我對這個是比較頭痛的,所以做安全還是有必要知道應用所涉及到的權限以及其他方面 
4 端口屏蔽,比如普通的WEB服務器開個21和80以及3389就夠了 
5 加密傳輸,這個防止嗅探的,不過WIN好像沒自帶 
6 密碼安全、桌面鎖定軟件、命令函數更名等其他小的設置,就和安全意識有關了,作用不會太大,但是比沒有要好 

IIS安全 
1 執行權限 這個很重要,不同的站點用不同的匿名用戶訪問,但是這些用戶不能給權限,連組都不用加,而且這寫單獨訪客的權限只在對應的WEB目錄有效,其他盤都無效,Everyone之類的大權限統統刪掉...而且大部分目錄不給寫入權,用戶權限是WEB安全最重要的一塊 
2 取消掉沒用的API擴展,搞黑的都知道asp傳不了就用asa或者cer格式的木馬,安全也一樣,沒用的API擴展統統去掉,比如asp的站點只留一個.asp的,其他擴展刪掉,你傳了后門也沒用 
3 取消不必要的WEB擴展,擴展多了漏洞也就多,能少用還是少用吧 

[backcolor=#ffffcc]權限類[/backcolor] 
1 站點單獨用戶權,防止跨站,上面說過了,其實這個可以在IIS設置,也可以在硬盤設置,本質都一樣,就是NTFS格式的權限設置,而且權限最多給到讀取寫入,不可能再多了 
2 目錄與文件的權限設置,圖片目錄這樣的,給個讀取權就可以了,而且腳本都可以禁掉,沒哪個圖片是可執行的吧....文件也一樣,HTML的目錄和文件,腳本權可以禁掉,普通頁面給個讀取權就可以了,寫入權這玩意很危險,能少給就少給,但是弄錯了網站會崩 
3 特殊目錄的權限,像D盤E盤這樣的,刪了Everyone就連子目錄的也一並刪了,但是例如system這樣的目錄,沒有繼承權,你刪了C盤的某用戶,很多子目錄里還是有的,要一個一個刪,否則就會出現像入侵時候遇到的情況:C盤無法訪問,但是用戶文件夾和windows目錄可以訪問 

代碼安全 
1 代碼防注入,這個是最多的安全問題,有了數據庫就有了注入,防御辦法很多,繞過防御的辦法也很多,很難一概而論,總之還是靠程序員的安全意識與代碼功底 
2 上傳漏洞的防止,除了注入上傳也是個大戶,很多入侵依賴上傳,解決方案是:減少上傳數量,提高驗證強度,驗證的時候要固定后綴、類型,而不是排除,上傳的文件隨即命名,自動修改后綴,上傳目錄不給任何權限! 
3 文件命名規則,一些測試文件和敏感文件,名稱和目錄一定不能讓人猜解,或者加入驗證,猜解到了文件也進不去 
4 第三方代碼,這個要少用,尤其是小團隊寫的,DISCUZ這么牛X的代碼都一直爆漏洞,別說其他代碼了,原因是這些代碼都是公開的,可以從源代碼里找漏洞,很危險的 
5 其他一些例如防社會工程學漏洞、防爆路徑,就比較難說清了,還是安全意識的問題 

在公司整理這些內容,順手就寫了下來,以上這些如果有做了,普通黑客是入侵不了的,不遇到手里掌握0day的大牛我估計都搞不下來

7 个解决方案

#1


#2


PP上的刺青不錯。。。贊。。。

#3


看了一下文章,謝謝LZ分享。。。

#4


zan

#5


有時間的話,建議深入研究微軟的官方文檔。自己摸索始終不如有人指路,

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596cdf5a-c852-4b79-b55a-708e5283ced5.mspx

#6


全部文章包括好幾個部分,

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/596cdf5a-c852-4b79-b55a-708e5283ced5.mspx?mfr=true

#7


謝謝分享

注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com