各位站长朋友大伙好,其实本人不善于书写东西,但是看到站长站有这样一个活动,又忍不住上来献一下丑,我主要从以下几个方面阐述一下我对WEB安全总结的经验,文章非常适合站长朋友,不多说了,进入正题。
1、sql 注入漏洞
对于sql注入漏洞我在这里就不多说了,baidu一下你就知道,但是有几点大家还得注意,那就是为什么,我的站做了防止注入,还是被注入了呢?
其实大家都知道数据WEB传值大多分为两种,一是GET方式Url传值适合一些简短数据传送,二是Post传值我们一般在添加文章或是发表Blog的时候用的都是Post传值,一般Sql注入都是在这两种传值的基础上产生的。
其实还有一种传值那就是Cookies传值,我们在用一些论坛或是文章系统的时候通常都会看到登陆保存时间,下次打开这个网站的时候就会显示以登陆的状态,这就是Cookies传值,其实我们每浏览一次网站都会在本地存在一个Cookies的,
那么我们伪造这些Cookies值就会达到 Cookies 注入了。现在大多站长用的都是通用的Sql防注入程序,这个程序大多只对 Get 和 Post 传值做了过滤没有对Cookies过滤所以导致注入。
在有一种就是对Url进行编码或是改变传值参数的大小写来扰过防注入程序。
总结一下,大家在做好Get、Post、Cookies防注入的同时也要考虑到编码问题。
2、数据安全
数据库安全其实很主要了,现在的数据大多都用Mssql、Access、Mysql,在这里我种点说一说Mssql和Access安全。
Mssql数据库运行是以管理员身份运行的,所以Mssql安全非常主要,网站的安全做的在好,程序写的在好,数据出现漏洞等于什么也没有做,首先每个网站要单独分配一个Sql的用户对应操作的数据库,要把用户的权限给到最小,通信端口1433不可以外部连接,加固SA的密码,打好所有的朴丁文件,还要删除所有有危害的扩展,具体的方法可以登陆长春黑客网查询。
Access数据库相对来说安全一些,大家讨论都是防止Access数据库的下载,我认为这个非常没有必要,想一下,黑客下载数据的目的是什么?那就是破解密码,有很多朋友数据库命名的时候加了很多特殊的字符,其实这样是没有用的比如说#db.mdb那么把#换成%23db.mdb就可以下载了,说白了也就是转换一下编码,在就是用火狐去下载有特殊字符串的数据库,很有效的哟呵呵,要想不让黑客通过Url下载最好的就是在IIS上把.mdb解析到一个不可执行的文件上就OK了。如果数据没有很重要的资料那么可以把数据里密码用Sha1或是Sha1二次加密方式来加密你的密码,加密方式都是不可逆的,如果你用Md5加密我建议你的密码最好是汉字,用汉字现在Md5破解网站是很难破解的。
注:http://www.ccheike.cn/sha1.rar 下载sha1加密程序
重点说一下,有很多朋友都把数据库扩展改成.asp 或是 .asa我一直想不通为什么要改成可执行脚本文件,这样很容易中一句话小马的,数据库插马是一种很常见的入侵方式,大多都是插到数据库里面,用于直接执行或是备份大马,千里之堤崩与蚁穴啊。
3、服务器安全
大多朋友都是租用的主机来做自己的站,或是买VPS,其实大多入侵方式也都是旁敲侧击的,也就是说大伙常说的旁注,就是通过入侵服务器上的其他站点来达到入侵目标站点,这样一来服务器的安全就是重中之重了。
先说一下我的服务器是怎么配置的吧,所有硬盘只给administrator或system所有权限,有几个特别的目录我会写在下面,大家也可以去长春黑客网查一下,我是把每个站都分配一个不同的用户,而且每个用户的权限都是Gest权限,然后把这个用户分配给网站所在的文件夹,现在有很多的服务器都是所有网站用一个用户,虽然说这个用户的权限很少,但是还是可以跨目录操作的,这样很不安全,还有一些用虚拟主机管理软件,如果是自己的服务器而且站不是太多,我不建议大家用虚拟主机管理软件,有很多主机管理软件都有漏洞的。
一定要注销WScript.Shell 和 Shell.application 组建
在开始运行里输入这两个命令,有的注销完后还删除这两个组件的文件,我个人认为就没有这个必要了。
4、第三方软件安全
大家都会在服务器上安装FTP管理软件而且大多都用ser-u,其实ser-u漏洞还是比较广泛被利用的,最常用的就是ser-u本地提权了。漏洞是使用Serv-u本地默认管理端口,以默认管理员登陆新建域和用户来执行命令,Serv-u>3.x版本默认本地管理端口是:43958,默认管理员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P,这是集成在Serv-u内部的,可以以Guest权限来进行连接,对Serv-u进行管理。一般防止方法:改掉默认密码,设置目录权限,通过去掉Web目录iusr用户的执行权限来防止使用Webshell来运行Exp程序。
pcanywhere 这个就是大家用来管理自己服务器的软件,他的密码文件通常都会存在C:\Documents and Settings\All Users\ Documents目录下,如果网站被挂马的话黑客可以下载密码文件回来破解,这样就可以管理你的服务器了,我个人还是推荐用远程桌面来管理服务器
5、IIS解析漏洞
也就是在网站下建立一个以.asp结尾的文件夹,然后上传代一句话小马的jpg文件,这样就可以执行了,不信的话各位站长可以试一试哟,在一个就是网站可以上传1.asp.jpg这样的文件也是可以执行asp脚本的,这个漏洞一出有N多网站被挂了。防范措施现在只能是在写程序的时候做过滤,方法很多,在这里就不说了,还有就是在IIS里面把不用执行脚本的目录去掉执行权限,这样做还是很安全的。
今天就说这么多吧,其实还有很多没有写进去,写的不好,还请各位大侠担待,有不对的地方还请指正。