网站安全-秦智平

2 服务器的安全配置
2.1 IIS安装 控制面板→添加删除程序→ Windows组件→勾选Internet 信息服务→详细 信息→…… 注意在详细信息中，只选中必须的服务 停止不必要的服务，服务开的多不是好事，特别是连管理员都不知道 的一些危险的服务，免得给系统带来灾难，同时也能节约一些系统资源。 以下服务尽量关闭： Telnet，Terminal Services，RunAs Service，Remote Access Server， Remote Procedure Call （RPC） locater Spooler，TCP/IP Netbios Helper，alerter，clipbook，server，computer browser，dhcp client，messenger，netlogon等 方法：控制面板→管理工具→服务 将不需要的服务的启动类型改为手动或已禁用，并将其停止
2 服务器的安全配置
2.3 利用NTFS权限来加强安全性
如果作了严密的NTFS权限配置，即使网站被ASP木马入侵，其危害性也受到 较大限制 1.在操作系统的安装过程中，应将所有分区格式化为NTFS分区 2.网站文件夹应该放在非系统分区 3.对于所有硬盘分区：system：完全控制；Adminstrator：完全控制；删 除Everyone用户 对于网站文件夹： IUSR_MACHINE:读取及运行，列出文件目录，读取 对于%systemroot%\winnt\system32 选择除了Inetsrv和Centsrv以外的所有目录，去除“允许将来自父系的可 继承权限传播给对象”选项框，复制。
2 服务器的安全配置
2.4 打开审核策略 打开安全审核是Win2000最基本的入侵检测方法。当有人尝试对 你的系统进行某些（如尝试用户名密码、 改变帐户策略、未经许可的文件访问等等）入侵的时候，都会被 安全审核记录下来。很多管理员在系统被 入侵了几个月都不知道，知道系统遭到破坏。下面的这些审核是 必须开启的，其他的可以根据需要增加。
操作系统的安全性 IIS一般安装在Windows Server或 IIS一般安装在Windows 2000 Server或 一般安装在 以上的版本中，关于Windows 2000操 以上的版本中，关于Windows 2000操 作系统的安全配置， 作系统的安全配置，这里不再深入探 讨 一般应将IIS安装在一台独立的服务器上 一般应将IIS安装在一台独立的服务器上 IIS
策略 审核系统登录事件 审核帐户管理 审核登录事件 审核对象访问 审核策略更改 审核特权使用 审核系统事件 设置 成功，失败 成功，失败 成功，失败 成功 成功，失败 成功，失败 成功，失败
3 站点设计的安全考虑
网站的数据库文件，千万不能放在网站文件夹中， 否则很容易被扫描工具发现并下载。 相关演示
2 服务器的安全配置
2.2 IIS安全配置
为站点中的文件分类设置权限 除了在操作系统级别为站点的文件设置必要的权限外，还要在IIS管理器中 为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应 同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。还有 目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到 “不忠的坏分子”。一个好的设置策略是：为Web 站点上不同类型的文件 都建立目录，然后给它们分配适当权限。例如： Scripts目录：包含站点的所有脚本文件，如cgi、vbs、asp等等，为 这个文件夹设置“纯脚本”执行许可权限。 BIN目录：包含站点上的二禁止执行文件，应该为这个文件夹设置“脚 本和可执行程序” 执行许可权限。 Static目录：包括所有静态文件，如HTM 或HTML，为这个文件夹设置 “读权限” 相关演示
2.2 IIS安全配置 选中新建好的站点→右击属性→主目录→配置→应用程 序映射→将不必要的映射关系删除 这里的扩展名与应用程序的映射关系为：当IIS收到该 扩展名的文件请求时，会把该请求交给映射中对应的应 用程序(一般为.dll文件)去处理 如果对应的应用程序存在设计上的漏洞(如缓冲区溢出 漏洞)，可能会导致IIS服务器和整个操作系统遭到入侵 ，所以除非必要，这些映射关系越少越好 以下为入侵示例
2 服务器的安全配置
2.2 IIS安全配置 先设计好一个网站(假设为1个文件夹) 控制面板→管理工具→ Internet 服务管理器→右击服 务器名→ 新建→Web站点→浏览→选中设计好的网站 文件夹→完成 选中新建好的站点→右击属性→文档→设置好首页的 文件名 网站初步发布成功
2 服务器的安全配置
网络站点的安全
1 网站安全概述 服务器的安全配置 2 服务器的安全配置
2.1 2.2 2.3 2.4 IIS安装 IIS安装 IIS安全配置 IIS安全配置 利用NTFS NTFS来加强安全性 利用NTFS来加强安全性 打开审核策略
3 网站设计的安全考虑 3.1 网页木马 3.2 注射漏洞 3.4 上传漏洞
4.1 E-mail的工作原理 的工作原理
一个邮件系统的传输包含了用户代理（ 一个邮件系统的传输包含了用户代理（ User Agent）、 传 ） 输代理（ 输代理 （ Transfer Agent） 及接受代理 （ Delivery Agent）三 ） 及接受代理（ ） 大部分。 用户代理是一个用户端发信和收信的程序， 大部分 。 用户代理是一个用户端发信和收信的程序 ， 负责将信 按照一定的标准包装， 然后送至邮件服务器， 按照一定的标准包装 ， 然后送至邮件服务器 ， 将信件发出或由 邮件服务器收回。 传输代理则负责信件的交换和传输， 邮件服务器收回 。 传输代理则负责信件的交换和传输 ， 将信件 传送至适当的邮件主机， 传送至适当的邮件主机 ， 再由接受代理将信件分发至不同的邮 件信箱。 传输代理必须能够接受用户邮件程序送来的信件， 解 件信箱 。 传输代理必须能够接受用户邮件程序送来的信件 ， 读 收 信 人 的 地 址 ， 根 据 SMTP （ Simple Mail Transport Protocol） 协议将它正确无误地传递到目的地 。 现在一般的传 ） 协议将它正确无误地传递到目的地。 输代理已采用Sendmail程序完成工作，到达邮件主机后经接收 程序完成工作， 输代理已采用 程序完成工作 代理POP3（Post Office Protocol）来使邮件被用户读取至自 代理 （ ） 己的主机。 己的主机。
相关演示
3 站点设计的安全考虑
3.2 注射漏洞 注射漏洞防护 1. 设计人员必须树立的安全原则: 切不可轻信客户端传过来的任何数据，不惜以最大的 恶意去质疑检查验证过滤客户端传过来的数据。 2. 采用通用的注射检查过滤程序
3 站点设计的安全考虑
3.3 上传漏洞 在网站被入侵的统计中，由于上传漏洞而导致的入侵 也占了较大比例。 这里的上传漏洞指的是在对上传文件的扩展名作了严 格限制的情况下，由于上传策略考虑不周而导致的漏 洞，这个漏洞可能会导致网页木马的上传。
2 服务器的安全配置
2.2 IIS安全配置
三.使用Shell.Application组件 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\及 HKEY_CLASSES_ROOT\Shell.Application.1\改名为其它的名字，如：改 为Shell.Application_ChangeName或Shell.Application.1_ChangeName自 己以后调用的时候使用这个就可以正常调用此组件了 2.也要将clsid值也改一下 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 也可以将其删除，来防止此类木马的危害。 3.注销此组件命令:regsvr32/u C:\WINNT\system32\shell32.dll 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关组件 相关演示
2 服务器的安全配置
2.2 IIS安全配置
二.使用WScript.Shell组件 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害 HKEY_CLASSES_ROOT\WScript.Shell\及 HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字，如：改为 WScript.Shell_ChangeName或WScript.Shell.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 2.也要将clsid值也改一下 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值 也可以将其删除，来防止此类木马的危害。regsvr32/u 3.注销此组件命令:RegSrv32 /u C:\WINNT\System32\wshom.ocx 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关组件
1 网站安全概述
（1）很多企业采用 作为网站服务器 ）很多企业采用IIS作为网站服务器 （2）网站遭入侵可导致网站被外人控制 ） （3）网站遭入侵还可导致操作系统被控制 ）
1 网站安全概述
影响网站安全的三大因素 1 操作系统的安全性 2 服务器 的安全性 3 站点设计上的安全性
1 网站安全概述
3 站点设计的安全考虑
3.3 上传漏洞 上传漏洞防护 1. 对实现上传的程序代码要考虑周密。 2. 上传后的文件的存放位置和文件名要完全由服务端 随机形成。
8.1.2 互联网服务的安全隐患
1．电子邮件 2．文件传输 3．远程登录 4．万维网（WWW）
4. E-mail站点的安全 站点的安全
4.1 E-mail的工作原理 的工作原理 4.2 E-mail攻击方法 攻击方法 4.3 E-mail安全设置 安全设置
3 站点设计的安全考虑
3.1 网页木马 由于网页木马(如ASP木马)的存在，所以在设计网站时， 如果有上传文件的功能，必须对文件的扩展名作严格 限制
相关演示
3 站点设计的安全考虑
3.2 注射漏洞 在网站被入侵的统计中，由于注射漏洞而导致的入侵 占了很大比例。 注射漏洞的根源在于服务器脚本在执行时，由于设计 人员的疏忽或无知，对客户端传过来的参数未作严格 检查与过滤，就将这些参数组合到sql语句中，并提交 给数据库去执行，从而导致一些带有非法目的的参数 也被组合到sql语句中，从而导致 数据库信息泄漏甚至 系统被控制
2 服务器的安全配置
2.2 IIS安全配置
要及时升级IIS及其相应的扩展应用程序( 一般为.dll文件)
2 服务器的安全配置
2.2 IIS安全配置 注销不必要的组件或在注册表中为这些组件改名 一些ASP木马常通过调用一些服务器支持的组件来控制服务器 ，如： FileSystemObject组件---对文件进行常规操作. WScript.Shell组件---可以调用系统内核运行DOS基本命令. Shell.Application组件--可以调用系统内核运行DOS基本命令.
网络站点的安全
4 E-mail站点的安全 站点的安全
mail的工作原理 4.1 E-mail的工作原理 mail攻击方法 4.2 E-mail攻击方法 4.3 E-mail安全设置 mail安全设置 5 DNS站点的安全 站点的安全 DNS解析原理 5.1 DNS解析原理 5.2 DNS站点的安全威胁 DNS站点的安全威胁 DNS站点安全防护 5.3 DNS站点安全防护
2 服务器的安全配置
2.ห้องสมุดไป่ตู้ IIS安全配置
一.使用FileSystemObject组件 1.可以通过修改注册表，将此组件改名，来防止此类木马的危害. HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 改名为其它的名字，如：改为FileSystemObject_good 自己以后调用的时候使用这个就可以正常调用此组件了. 2.也要将clsid值也改一下 HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值 可以将其删除，来防止此类木马的危害. 3.注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 如果想恢复的话只需要去掉 /U 即可重新再注册以上相关组件