服务器有效设置避免web进侵

核心提示：既然是我们的防范是从进侵者角度来进行考虑，那末我们就首先需要知道进侵者的进侵方式。目前较为流行web进侵方式都是通过寻觅程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权，进而拿下服务器权限的。所以配合服务器来设置防

既然是我们的防范是从进侵者角度来进行考虑，那末我们就首先需要知道进侵者的进侵方式。目前较为流行web进侵方式都是通过寻觅程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权，进而拿下服务器权限的。所以配合服务器来设置避免webshell是有效的方法。

1、避免数据库被非法下载

应当说，有1点网络安全的治理员，都会把从网上下载的网站程序的默许数据库路径进行更改。固然也有1部份治理员非常粗心，拿到程序直接在自己的服务器上进行安装，乃至连说明文件都不进行删除，更不要说更改数据库路径了。这样黑客便可以够通过直接从源码站点下载网站源程序，然后在本地测试找到默许的数据库，再通过下载数据库读取里面的用户信息和资料(1般是经过MD5加密的)找到治理进口进行登陆取得webshell。还有1种情况是由于程序出错暴出了网站数据库的路径，那末怎样避免这类情况的产生呢?我们可以添加mdb的扩大映照。以下图所示：

打开IIS添加1个MDB的映照，让mdb解析成其他下载不了的文件：“IIS属性”—“主目录”—“配置”—“映照”—“利用程序扩大”里面添加.mdb文件利用解析，至于用于解析它的文件大家可以自己进行选择，只要访问数据库文件出现没法访问便可以够了。

这样做的好处是：1只是要是mdb后缀格式的数据库文件就肯定下载不了；2对服务器上所有的mdb文件都起作用，对虚拟主机治理员很有用处。

2、避免上传

针对以上的配置假设使用的是MSSQL的数据库，只要存在注进点，依然可以通过使用注进工具进行数据库的猜解。倘若上传文件根本没有身份验证的话，我们可以直接上传1个asp的木马就得到了服务器的webshell。

对付上传，我们可以总结为：可以上传的目录不给履行权限，可以履行的目录不给上传权限。Web程序是通过IIS用户运行的，我们只要给IIS用户1个特定的上传目录有写进权限，然后又把这个目录的脚本履行权限往掉，便可以够避免进侵者通过上传取得webshell了。配置方法：首先在IIS的web目录中，打开权限选项卡、只给IIS用户读取和列出目录权限，然落后进上传文件保存和寄存数据库的目录，给IIS用户加上写进权限，最后在这两个目录的“属性”—“履行权限”选项把“纯脚本”改成“无”即可。见下图

最后提示1点，在你设置以上权限的时候，1定要留意到设置好父目录的继续。避免所做的设置白费。

3、MSSQL注进

对MSSQL数据库的防御，我们说，首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对服务器来讲就是1场灾害。1般来讲可使用DB_OWNER权限帐户连接数据库，假设可以正常运行，使用public用户最安全的。设置成dbo权限连接数据库以后，进侵者基本就只能通过猜解用户名和密码或是差异备份来取得webshell了，对前者，我们可以通过加密和修改治理后台的默许登陆地址来防御。对差异备份，我们知道它的条件是有备份的权限，并且要知道web的目录。寻觅web目录我们说通常是通过遍历目录进行寻觅或直接读取注册表来实现。无路这两个方法的哪1种，都用到了xp_regread和xp_dirtree两个扩大存储进程，我们只需要删除这两个扩大存储便可以够了，固然也能够把对应的dll文件也1起删除。

但是假设是由于程序出错自己暴出了web目录，就没有办法了。所以我们还要让帐户的权限更低，没法完成备份操纵。具体操纵以下：在这个帐户的属性—数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限，对其他数据库不要操纵。接着还要到该数据库—属性—权限把该用户的备份和备份日志的权限往掉，这样进侵者就不能通过差异备份取得webshell了。

评论加载中... 内容： 评论者： 验证码：