廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1549 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] Win2003伺服器安全配置技巧 (五)
在應用程式池裏有個"標識"選項,可以選擇應用程式池的安全性帳戶,默認才用網路服務這個帳戶,大家就不要動它,能儘量以最低許可權去運行大,隱患也就更小些。在一個站點的某些目錄裏,譬如這個"uploadfile"目錄,不需要在裏面運行asp程式或其他腳本的,就去掉這個目錄的執行腳本程式許可權,在"應用程式設置"的"執行許可權"這裡,默認的是"純腳本",我們改成"無",這樣就只能使用靜態頁面了。依次類推,大凡是不需要asp運行的目錄,譬如數據庫目錄,圖片目錄等等裏都可以這樣做,這樣主要是能避免在站點應用程式腳本出現bug的時候,譬如出現從前流行的upfile漏洞,而能夠在一定程度上對漏洞有扼制的作用。

在默認情況下,我們一般給每個站點的web目錄的許可權為IIS用戶的讀取和寫入,如圖:

但是我們現在為了將SQL注入,上傳漏洞全部都趕走,我們可以採取手動的方式進行細節性的策略設置。
1. 給web根目錄的IIS用戶只給讀許可權。如圖:

  然後我們對響應的uploadfiles/或其他需要存在上傳文件的目錄額外給寫的許可權,並且在IIS裏給這個目錄無腳本運行許可權,這樣即使網站程式出現漏洞,入侵者也無法將asp木馬寫進目錄裏去,呵呵,不過沒這麼簡單就防止住了攻擊,還有很多工作要完成。如果是MS-SQL數據庫的,就這樣也就OK了,但是Access的數據庫的話,其數據庫所在的目錄,或數據庫文件也得給寫許可權,然後數據庫文件沒必要改成.asp的。這樣的後果大家也都知道了把,一旦你的數據庫路徑被暴露了,這個數據庫就是一個大木馬,夠可怕的。其實完全還是規矩點只用mdb尾碼,這個目錄在IIS裏不給執行腳本許可權。然後在IIS里加設置一個映射規律,如圖:


  這裡用任意一個dll文件來解析.mdb尾碼名的映射,只要不用asp.dll來解析就可以了,這樣別人即使獲得了數據庫路徑也無法下載。這個方法可以說是防止數據庫被下載的終極解決辦法了。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-06 03:11 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058134 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言