1、Web服務(wù)器安全方案原創(chuàng)+總結(jié)Sk |小窗U*00W180 23:32 to 7092huzhangyou2002 £*Windows CE 憐系關(guān)Web【：伶器安全方案對(duì)F web服務(wù)器的安全.大的方而I.耍ft在F兩個(gè)方而：1：系統(tǒng)木身的安全2小eb程序的安全下而我貝體的說說這兩個(gè)方面的問題：fi先足系統(tǒng)本身的安全.我詳細(xì)的說下.(Il Ftt/fl windows系統(tǒng)的人比牧E所以相對(duì)來說.該系統(tǒng)的瀉洞也就會(huì)比牧多問時(shí)張得些簡(jiǎn)單攻擊的用門也比牧多.我們需要做 到如下方面：1：給蘋統(tǒng)打上厳新的所補(bǔ)丁這個(gè)可以k microsoft網(wǎng)站去更新系統(tǒng).注意一定I.所有的補(bǔ)丁.2：盡笊給系

2、統(tǒng)安裝個(gè)防火站這甲.我推行哉舫火墻.址俄田人為的獲時(shí)了月麻大獎(jiǎng).J!體她如何好奴楙不介紹名稱為blackice(黑冰)呃仔兩種版本.server的和普通pc的.如果對(duì)于脫務(wù)話.推行我們使用server的版本.3：盡處給系統(tǒng)安裝個(gè)好的殺碓軟件.遛免一些簡(jiǎn)單的輛毒的入侵半然說實(shí)話PT書的納湃殺湃軟件是沒仃用處的.只能避免簡(jiǎn)單的 而已.我vm-依恢的兀實(shí)還足個(gè)好的防火堆.這里跚星正版的軟件相對(duì)來說還足比較好的.至于國(guó)外的卡巴斯展還足非命岀色的.4：停11. server 01.該服務(wù)捉佻RPC支旅 文件.打印以及命名管道共享.(net stop server,在”開始”管理匸具-服務(wù)”屮把serve

3、r 眼務(wù)停止并改為于動(dòng)或劇.)沖獨(dú)刑除共享的方法 net share ipc$/delete5： JI net share 令確認(rèn)默認(rèn)的共享(ipc$rc$/d$.admin$/system$)已經(jīng)刪除伍看戸工設(shè)M的共享別除不鬲要的共享.最好全部制 除6：停 11 TCP/IP Services 服務(wù).該服務(wù)支特以下 TCP/IP 服務(wù)：Character Generator, Daytime, Discard Echo,以及 Quote of the Day.它對(duì)應(yīng)衣個(gè)晞【】如7917：?“J能導(dǎo)致DOSDDOS)攻擊.7：用net start命令企看啟動(dòng)的服務(wù).確認(rèn)停1上所有不必要的眾務(wù).

4、特別足：停止telnet, ftp服務(wù)爼8：用net user和rwt localgroup命令點(diǎn)看異滋的用八和本地組刪除或禁用不必要的帳Vaguest Jusr.hostname仝用掃描工具檢査開放的可疑渤口盤找木馬.(這里我門可以使用 譜軟件比如開放端【伽軟件來査看本脳務(wù)番所有開放的端口. 軟件名稱為：Active ports還存可以使用些打描匸具比如superset或齊更加強(qiáng)大的GFI Languard scan軟件來件找冷服務(wù)器的 些弱的關(guān)洞還有端口.)10：禁止般用戶從網(wǎng)絡(luò)訪問計(jì)算機(jī).在管理I：具本地安全策略用戶權(quán)利指派拒絕從網(wǎng)絡(luò)査陸計(jì)算機(jī)中設(shè)工11：盡可能少且盡可能少用來登錄：說明

5、：網(wǎng)站帳兮一般只用來做系統(tǒng)淮護(hù).多余的帳兮一個(gè)也不要.因?yàn)閰⒁粋€(gè)帳兮就會(huì)多一份被攻破的危險(xiǎn)12：除過Administrator外.仃必娶再增加個(gè)展管理彷組的說明兩個(gè)管理員組的帳號(hào).方而防止管理員一旦它記個(gè)賬號(hào)的口令還育一個(gè)備用帳切另方而“黒客攻破個(gè)帳號(hào)并更改口 令.我心還脊機(jī)會(huì)巫新在短期內(nèi)取得擰制權(quán)13： Administrator 命名.改為一個(gè)不易猜的名字其他澈帳號(hào)也庖舜術(shù)咎尿則-可以在安全策略中進(jìn)行設(shè)立修改14：將Guest帳號(hào)禁用.同時(shí)起命名為個(gè)復(fù)余的名字.墩加口令.并將它從Guest組蒯掉：說明有的黑客工具疋足利用T guest的和點(diǎn)可以將帳號(hào)從一股用戶提升到管理員組15：給所育用戶

6、帳號(hào)個(gè)復(fù)雜的口令(系統(tǒng)帳號(hào)岀外).K度耐少在8位以上.11必後同時(shí)包含字母、數(shù)益 待殊字符問時(shí)不要使用 大家熟悉的單訶(ftOmkrosoft).熟悉的泄盤順用(toqwert).熟悉的數(shù)字(ftl 2000)等.說明：口令足黑客攻曲的巫點(diǎn).口令披夾破也就無任何系統(tǒng)安全可古了而這往往足不少網(wǎng)管所忽視的地方.朋我幻的測(cè)試僅字 母加數(shù)了的5位口令在幾分鐘內(nèi)就會(huì)被攻破而所推薦的方案則耍安全的16：在帳號(hào)屈件中設(shè)、Z鎖定次散比如改帳號(hào)失敗&錄次敵駁過5次即鎖定改帳廿.這樣町以防止榮嶼大規(guī)松的衣錄次試冋時(shí)也使管 理員對(duì)該帳號(hào)捉高咎慟（也足在安全策略中修改具體的自己倉(cāng)資料.這篇文章就不介紹了m加強(qiáng)

7、日志審核：說明:H.任何包括邪仟厲石霽屮的岡用、集統(tǒng)、安全H屯IIS屮的WWW. SMTP. FTP IQ、SQLSERVER 11.1；從中對(duì)以右出栗 些攻擊跡象閔此每天白看日怎足保證系統(tǒng)安全的必不可少的環(huán)節(jié).安全口志缺省足不記錄.帳號(hào)審核可以從城用八管理器一觀則一 審核屮選擇描標(biāo):NTFS中對(duì)文件的審核從資源管理器中選取要注童的-點(diǎn)足.只需選取你真正關(guān)心的描標(biāo)就可以了如果全選.則記 錄數(shù)目太大.反而不利于分析：另外太多對(duì)系統(tǒng)資源也足一種浪費(fèi).is： tn強(qiáng)數(shù)雄備份：說明：這點(diǎn)茸簾就耍姑點(diǎn)的核心足數(shù)摳數(shù)棚 幾追到破壞后果不堪設(shè)想.而這往往是黑客們丸止關(guān)心的東西：1S憾的足.不少網(wǎng) 管在這一點(diǎn)

8、上作的井不好.不足爲(wèi)份不龍全.就足備份不及時(shí).ftl«8r份3S耍仔細(xì)計(jì)劃制定出個(gè)策咯井作了測(cè)試以后才實(shí)施而且 毬笛網(wǎng)站的更新.備份計(jì)劃也需菱不斷地謂型.19：只保陽TCP/IP協(xié)議.別除NETBEUI. IPX/SPX協(xié)議：說明，網(wǎng)站需耍的通訊協(xié)議只有TCP/IP.而NETBEUI足個(gè)只能用F局域網(wǎng)的協(xié)議IPX/SPX足而臨洵汰的協(xié)議.放在網(wǎng)站上沒仔任何 用處.反而會(huì)被某些黑客L具利用.20：停掉沒冇用的服務(wù)只保留網(wǎng)站有關(guān)的服務(wù)和服務(wù)器栗些必須的脳務(wù).說明:有些脳務(wù)比如RASfiH務(wù)、Spooler H務(wù)等會(huì)給熬客帶來可乘Z機(jī).如果確實(shí)沒有用處建議禁止掉冋時(shí)也能節(jié)釣譜系統(tǒng)資湫 但要

9、注盤有些服務(wù)足慄作系統(tǒng)必須的服務(wù)建i文在停悼IW俊閱冊(cè)助文檔并酋先在測(cè)試服務(wù)器上作下測(cè)試.21：隱藏匕次査錄用戶名修改注冊(cè)發(fā)Winnt4.0：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent Vers»onWinlogon I1 jfltll DontDisplaytastUserName將丿（ft 設(shè)為 K Windov/s2000 V該項(xiàng)己經(jīng)存在.只需為1說明：缺省悄況下上次登錄的用戶名會(huì)出現(xiàn)在登錄愜屮這就為黑客猜測(cè)口令捉供了線索.耐好的方式就足隱藏I:次登錄用戶名.（M 樣可以在安全策略中進(jìn)行配51）22：關(guān)閉井刪除默認(rèn)站

10、點(diǎn):攻認(rèn)FTP站點(diǎn)就認(rèn)Web站點(diǎn)訝理Web站點(diǎn)上而的部分資料來自互聯(lián)網(wǎng)共余的為本人所寫.半然出我們發(fā)現(xiàn)機(jī)器可能逍到攻擊的時(shí)候我們的處理方糸我以后寫出.這里就不介 紹了.然后就足web程將的安全了架設(shè)在windows F的服務(wù)器這里所討論的住疇只足HS.所以不討論Apache. IIS支持的為. 對(duì)于 不是非常了解.方承我就少說點(diǎn).對(duì)于asp程序.我只體的說下.目前因?yàn)楹芏嚅_源的web網(wǎng)站的代碼,如果細(xì)心的程序員軼會(huì)發(fā)現(xiàn)那些代碼里而存在很參的濡潤(rùn)比如簡(jiǎn)單的注入補(bǔ)洞.還有些非常 簡(jiǎn)單的上傳功能可以上傳腳本文杵.然后攻擊者可以直接執(zhí)行這些上傳的屛本.達(dá)到一些他的的目的比如瀕加系統(tǒng)用戶.或音IH除服

11、務(wù)器文件.還育修改主頁等答這些都是蓉常簡(jiǎn)單的滿對(duì)但足確不被些粗心的coder注慰.我們作為網(wǎng)絡(luò)的管理員.在配監(jiān)完了一 個(gè)wwb以后我們風(fēng)該做一次入侵檢測(cè)的.這個(gè)有專門的軟件.他可以檢測(cè)到-些簡(jiǎn)單的注入.或者代碼鴻洞還育系統(tǒng)的些缺陷.A 體的軟件名稱自己去査詢一下下而我具體的說說些8；要注慰的何趣了（対于一些比較早的瀉洞我就不說了.現(xiàn)在的系統(tǒng)大部分都不存在這些iWiW r）:1： ACCESS mdb數(shù)|«庫(kù)仃可能被卞鐵的JW澗問世描述：在用ACCESS熾垢臺(tái)敵堆冷時(shí).如果彳j人通過并種方法知道戒者刑到了限務(wù)器的ACCESS數(shù)協(xié)陸的路徑和數(shù)掘曲名稱那么他能夠下找這個(gè)ACCESS賀掘庫(kù)文

12、件.這足非常危險(xiǎn)的.比如 如果你的ACCESSbook.mdb放在虛擬目錄下的database目錄下那么有人在測(cè)覽器中打入：http:/someurl/database/book.mdb如果你的book.mdb故期庫(kù)沒仔"先加密的話.那book.mdb中所育電要的敵IK都宰握在別人的T中.解決方法，(1) 為你的數(shù)細(xì)文件名稱起個(gè)復(fù)朵的非常規(guī)的名字.并把他放在菲常規(guī)H錄下.所1T曹常規(guī)”.打個(gè)比方：比如有個(gè)數(shù)期庫(kù)要保存 的足育關(guān)書弼的倍息.可不要把倫起個(gè)”boolcmdb”的名字.起個(gè)怪怪的名稱比如d34ksfslf.mdb再把他放在如./kdslf/i44/studi/的幾 層H錄下

13、.這樣黒客耍思通過猜的方式得到你的ACCESS敵朋必:文件秋堆I:加靠r(2) 不要把敵梱碎名寫在程序中.仃些人總歡把DSN寫在程用屮比如：DBPath = Server.MapPathCcmddb.mdb")conn.Open "driver=Microsoft Access Driver (*.mdb);dbq=" & DBPath假如萬一給人黑到了源程序你的ACCESS數(shù)棚侔的名字就一覽無余.因此建議你忘ODBC電設(shè)徂敎棚齦 評(píng)在程燼中這樣寫： conn.open "shujryuan"便用ACCESS來為數(shù)朋庫(kù)文件堀珂及加氛 為

14、先在選IJV«全加密/解密故IK麻選取故他廉如：employer.mdb) 然后接確定樓行會(huì)出理故朋庫(kù)加密后另存為-的窗門存為gmployerl.mdb接行emptoya.mdb鍬會(huì)被編碼然后存為employerl.mdb.妾注恿的足.以上的動(dòng)作并不足對(duì)數(shù)掘庫(kù)設(shè)沈密碼而只足對(duì)數(shù)1«用文件加以編碼.II的足為了防I匕他人使用別的匸具來任石數(shù)|« 庫(kù)文件的內(nèi)客.接下來我們?yōu)閿滃纱蛳纫源蜷_經(jīng)過綸珂了的employerl.mdb.在打開時(shí)選擇”加:”方心然后選取功能農(nóng)的'I.只女全 設(shè)53數(shù)朋用潸5T接著軸入密碼即可.為employerl.mdb設(shè)JZ密叫Z后

15、樓下來如果再使用ACCEES故棚條文件時(shí).則ACCESS會(huì)先矣求輸入潸碼.駒證正確后才能窮啟 動(dòng)數(shù)朋庫(kù).不過菱在ASP程用中的connection對(duì)的open方法中增加PWD的苓數(shù)即可.例虬param=Mdriver=Microsoft Access Driver (*.mdb);Pwd=yfdsfs*'param=para m& "dbq="&server.mappath"eniployerl.mdb")conn.open param這樣即使他人得到了 employerl.mdb文件沒育密碼他足無法看至:employerl.md

16、b的.2： ASP崔字密碼0證iW澗漏河描述：很多網(wǎng)站把糸硏放到數(shù)號(hào)用中.在甥陸驗(yàn)證中用以卜 sql,(以asp為例)sql="select * from user v/here usemame=,"&username&"Snd pass"& pass &"此時(shí)您只要W. sql構(gòu)造個(gè)轉(zhuǎn)殊的用戶名和密碼.如：ben* or就可以逬入本來你沒育轉(zhuǎn)權(quán)的頁而.評(píng)來石看上而那個(gè)語句吧：sql="select * from user where usemame=,H&usGmamw&"S

17、nd pass=,H& passSt*"此時(shí).您只要根«C sql構(gòu)造個(gè)倚殊的用戶名和密碼.如：ben1 or這Ff 畀¥亍輅會(huì)變成這樣：sql=,select*froni username where username="8cben or'l'=l&"and pass="&pass&Mor足個(gè)邏轎運(yùn)貳符，作用足在判斷兩個(gè)條件的時(shí)候！要其中個(gè)條fT成匚那么答式將會(huì)成、Z而在譏古中，足以1來代農(nóng)九的(成宜)那 么在這行誥旬中屈語句的怙nd"驗(yàn)證將不再繼續(xù)而岡為和0嶺語句返回為眞也

18、.另外我心也可以構(gòu)造以下的用戶兒usemame=,aa' or usernameo'aa'pass='aa' or passo'aa'相內(nèi)的在瀏覽番iffl的用戶名桓內(nèi)寫入:aa* or usernameo'aa 口令樞內(nèi)寫入：詔or passo'aa,注意這兩個(gè)扌符串兩頭是沒有'的. 這樣就可以成功的曙過系統(tǒng)而進(jìn)入.后一種方法理論加然如此但要實(shí)踐足II：簾困晞的下面兩個(gè)條件林必須只備.1.你首先要能夠準(zhǔn)確的如迫系統(tǒng)在農(nóng)屮楚用珈兩個(gè)丫段存f用戶纟和口令的.只育這樣你才能準(zhǔn)確的構(gòu)造出這個(gè)進(jìn)攻性的字符:忙 實(shí)際上這疑很

19、難猜中的.2 系統(tǒng)對(duì)你輸入的了符串不進(jìn)行仃效性檢億問世解決和建議：對(duì)輸入的內(nèi)容驗(yàn)證利號(hào)的處理.這個(gè)育點(diǎn)類似sql注入了.3： IIS4或者IIS5中安裝仆INDEX SERVER服務(wù)會(huì)漏洞ASP液程序問世描述：在運(yùn)行IIS4或寺IISS的Index Server.輸入特燃的了符恪兀可以看到ASP換稈廳或石兀它頁而的檸用貳至以及添打了最近關(guān)于多 竹煉代碼的補(bǔ)程用的系統(tǒng)或右沒J.htw Z件的系統(tǒng)-樣存在該問徵iO?asp程序此至global.asa文件的煉代碼.無疑對(duì)系fit 足一個(gè)菲常巫大的安全隱臥往往這些代碼中包含了用戶密碼和ID以及數(shù)無庫(kù)的憑路徑和名稱等張這對(duì)干攻擊茍收集呆統(tǒng)佶息.進(jìn) 行下

20、一步的入侵林疑非常巫要的.通過構(gòu)建下而的特殊程洋可以多右該程燼源代硏：http:/sourceurl/null.htw?OWebHitsFile=/default.asp&CiRestnction=none&CiHiliteType=Full這樣只是返旦些html格式的文件代碼.但是出你潘加20 fiJOWebHitsRle的歩數(shù)后面.如下: http:/someuri/null.hhv?CiWebHitsFile=/default.asp%20&CiRestnction=none8iCiHiliteType=Full這將獲得該程序的源代碼.（注恿：/default.a

21、sp 以wwb的根開始計(jì)勲 的集站點(diǎn)的http:/welcome/welcome.asp那么對(duì)網(wǎng)就如 http:/someuri/null.htw?CiWebHitsFile=/v/ekome/welcome.asp%20&CiRestriction=none&CiHiliteTyp=Full ）由于nul.htw-X件并IE荊E的系統(tǒng)映射文件.所以只足個(gè)摘存在系統(tǒng)內(nèi)存中的虛擬文件哪怕你已經(jīng)從你的系統(tǒng)中刑除了所有的 真實(shí)的htw文件.但是由干對(duì)null.htw文件的誠(chéng)求默認(rèn)webhits.dll來處理.所tl. IIS仍然收到該漏澗的威勝.問世解決或肴堆議：如果該webhits

22、促供的功能繪系統(tǒng)必須的.訴下拔相應(yīng)的補(bǔ)程叭 如果沒必耍請(qǐng)用IIS的MMC管理L具簡(jiǎn)單移除htw的映象文 件 補(bǔ)丁程序如下：Index Server 2.0:Intel:http:/vAAlpha:http:/vAIndexing Services for Windows 2000:Intel:http:/vA 177264：具體說說兩個(gè)如何防止sql注入的方法（代碼來向互聯(lián)網(wǎng)）：過濾提交農(nóng)單屮的SQLfunction ForSqlForm()dim fqys,errc,i,itemsdim nothis(18)nothts(0)="net user'*nothts(l)=&q

23、uot;xp_cmdsheir nothis(2)=7add"n othis(3)="exc%20masterdboxp_crT>dsheirnothts(4)="net localgroup administrators'* nothis(5)="select*nothts(6)=,count"nothis(7)="ast"nothts(8)="char"nothts(9)="mid"nothis(10)=,"n,noth 15(11)=":&quo

24、t;nothis(12)=,H,Hnothis( 13)="insert"nothts( 14)=delete"nothts( 15)s *dropMnothts( 16)=truncate'*nothis(17)="frofn"nothis(：L8)=W"nothis(19)="Herrc=falsefor i= 0 to ubound(nothis)for each items in request.Formif instr(requstForm(items),nothis(i)v aO thenresponse.writeC*)response.write("你所填寫的& server.HTMLEncode(request.Form(items) &含非法字符: & nothts(i)respo nse.writw(”)response.writeC' H不起傷所填寫的fg息含菲法字符!返回)response.En