| 設(shè)置.net1.1安全: 修改C:\WINDOWS\Microsoft.net\Framework\v1.1.4322\CONFIG\machine.config 文件. 改為 參考資料:http://msdn.microsoft.com/zh-cn/library/72wdk8cc(VS.80).aspx 設(shè)置.net2.0安全. 打開IIS->找到一個默認(rèn)站點->右鍵屬性->asp.net->確認(rèn).net版本選擇的是.ne2.0(如果不是.net2.0,編輯全局配置這 個按扭是灰色的)->編輯全局配置->應(yīng)用程序,把”本地模擬”前面的勾打上 IIS Spy。點擊以后可以看到所有站點所在的物理路徑。 防御方法: %SystemRoot%/ServicePackFiles/i386/activeds.dll %SystemRoot%/system32/activeds.dll %SystemRoot%/system32/activeds.tlb 搜索activeds.dll和activeds.tlb這兩個文件,把USER組和POWERS組去掉,只保留administrators和system權(quán)限。如果還有其它組請全部去掉,這樣就能防止這種木馬列出所有站點的物理路徑 設(shè)置C:\WINDOWS\system32\inetsrv目錄下的adsiis.dll的權(quán)限也可以禁止遍歷IIS ==================================================================== 剛在網(wǎng)上看到的一篇文章 歸納到一起 關(guān)于禁止IISSPY的弊端.測試環(huán)境:Windows2003SP2+IIS6.0+ASP.Net 3.5 IISSPY危害 前段時間發(fā)現(xiàn)Bin大牛發(fā)布了ASPXSPY V2009,利用此Webshell的iisspy功能可以成功列出服務(wù)器的所有網(wǎng)站的賬號、密碼、站點路徑等信息。 網(wǎng)上解決方案 去掉%windir%/system32/activeds.dll和%windir%/system32/activeds.tlb這兩個文件的Users組和Power Users組的讀取權(quán)限。 造成的弊端 當(dāng)我們?nèi)サ暨@兩個文件的Users組和Power Users組的讀取權(quán)限時,我們再使用IISSPY功能時,它會顯示“加載類型庫/DLL 時出錯。”,且不能顯示出服務(wù)器上所有的網(wǎng)站信息,但我們將服務(wù)器進行重啟后,會發(fā)現(xiàn)系統(tǒng)里所有的服務(wù)都不能停止,也不能啟動。它的錯誤信息都是“在 本地計算機 無法啟動 XXX服務(wù)。錯誤 1053:服務(wù)沒有及時響應(yīng)啟動或控制請求。”,而且最要命的是它不會在系統(tǒng)日志里面顯示詳細(xì)的錯誤信息。 最終解決方案 僅將%windir%/system32/activeds.tlb文件的Users組和Power Users組的讀取權(quán)限去掉。保留Users組和Power Users組對%windir%/system32/activeds.dll文件的讀取權(quán)限。這樣既能讓IISSPY功能失效,又能讓系統(tǒng)里的服務(wù)正常啟動和停止。 ========================================================== 添加一點服務(wù)器安全設(shè)置 ========================================================= 限制目錄的文件執(zhí)行權(quán)限保障服務(wù)器安全 對于一個web目錄來說。 根本不需要運行可執(zhí)行文件的權(quán)限。這里教大家一種方法。 利用gpedit.msc(組策略)禁止目錄執(zhí)行某些文件。 首先: 運行-----輸入 gpedit.msc ----計算機配置---windows 設(shè)置----安全設(shè)置↓ ----軟件限制策略(如果旁邊沒有什么東西。點右鍵創(chuàng)建一個策略)---其他規(guī)則----(點右鍵)新建立一個路徑規(guī)則(p)。 如圖1: 這樣d:\wwwroot\目錄就無法執(zhí)行任何exe.bat.com文件了。 不管你是什么權(quán)限。即使是system都無法執(zhí)行。 這樣大大的提高了被使用exp提升權(quán)限的安全性。 當(dāng)然這里提一個思路。 。大家都知道c:\windows\temp\是臨時文件夾。 基本都是所有用戶都可以寫的。它是不需要執(zhí)行權(quán)限的。 當(dāng)然我們這里可以給他加一個規(guī)則。讓c:\windows\temp\無執(zhí)行權(quán)限。 方法如上。 -------------------------------------------- apache下 取消上傳目錄php腳本執(zhí)行權(quán)限 ---------------------------------------------- 一般CMS都支持上傳圖片、附件等文件,然而這個目錄不需要php腳本執(zhí)行支持,如果你沒有加以禁止的話,會給主機帶來安全隱患,Blinux的網(wǎng)站曾經(jīng)遭遇到壞壞注入. 今天介紹如何取消apache主機指定目錄的php腳本執(zhí)行權(quán)限,注意哦,并非Linux下文件的執(zhí)行權(quán)限x.下面提供幾種不同作業(yè)環(huán)境的解決方案. 1.如果你只有編輯.htaccess文件的權(quán)限 你可以在上傳目錄添加一個.htaccess文件,比如在Wordpress的/wp-content/uploads/目錄,Discuz的/attachments/目錄,.htaccess文件的內(nèi)容可以是 Order allow,deny Deny from all 或者是(這個是bigcat透露的 ) RewriteEngine on RewriteCond % !^$ RewriteRule \.(php)$ - [F] 2.如果你有編輯httpd.conf文件的權(quán)限 Order allow,deny Deny from all --------------------------------------------------------------------------- FCKEditor編輯器安全配置 ----------------------------------------------------- 如果你的網(wǎng)站使用了FckEditor編輯器還沒有進行正確的配置是很容易被別人通過上傳得到webshell,下面我就分享一下我在用Fckeditro時一點技巧. 環(huán)境:vs2005 首先在vs中配置Fckeditor編輯器。 關(guān)于Fckeditor下載后的文件請參考: 徹底禁用fckEditor的上傳功能(含防止Type漏洞問題) 在Fckeditor 2.6.3前的版本中 在 fckeditor"editor"filemanager"connectors"aspx"config.ascx 文件中的上傳驗證沒有安全的驗證就直接可上傳,在后續(xù)的版本中修改這個地方,必須得用手動設(shè)置 private bool CheckAuthentication() { // WARNING : DO NOT simply return "true". By doing so, you are allowing // "anyone" to upload and list the files in your server. You must implement // some kind of session validation here. Even something very simple as... // // return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true ); // // ... where Session[ "IsAuthorized" ] is set to "true" as soon as the // user logs in your system. return false; <-- true } 復(fù)制代碼 返回值為true. 但是這樣是不安全的。 參考 徹底禁用fckEditor的上傳功能(含防止Type漏洞問題) fckeditor 可以從地址欄直接輸入漏洞地址還可上傳文件。 解決方法很簡單就是在用戶登錄時加入是否可上傳文件的Session標(biāo)志。其實Fckeditor已經(jīng)寫好了。直接把驗證函數(shù)CheckAuthentication()中的注釋段中 return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true ); 注釋去掉。在登錄成功加入Session[“IsAuthorized”] = true;就可以了。 如果網(wǎng)站沒有用到上傳到服務(wù)器的文件瀏覽的話把fckeditor"editor"filemanager 中的browser 目錄也刪除。 --------------------------------------------------------------------------------------------------------------------------------------------- SQL關(guān)閉外網(wǎng)對1433端口的訪問 ------------------------------------------------ 如果不是做虛擬主機的服務(wù)器。我們強列建意關(guān)閉1433端口。因此百分之九十的黑客是通過數(shù)據(jù)庫提權(quán)建利管理員帳號和密碼。 一.創(chuàng)建IP篩選器和篩選器操作 1.”開始”->”程序”->”管理工具”->”本地安全策略”。微軟建議使用本地安全策略進行IPsec的設(shè)置,因為本地安全策略只應(yīng)用到本地計算機上,而通常ipsec都是針對某臺計算機量身定作的。 2.右擊”Ip安全策略,在本地機器”,選擇”管理 IP 篩選器表和篩選器操作”,啟動管理 IP 篩選器表和篩選器操作對話框。我們要先創(chuàng)建一個IP篩選器和相關(guān)操作才能夠建立一個相應(yīng)的IPsec安全策略。 3.在”管理 IP 篩選器表”中,按”添加”按鈕建立新的IP篩選器: 1)在跳出的IP篩選器列表對話框內(nèi),填上合適的名稱,我們這兒使用”tcp1433″,描述隨便填寫.單擊右側(cè)的”添加”按鈕,啟動IP篩選器向?qū)А? 2)跳過歡迎對話框,下一步。 3)在IP通信源頁面,源地方選”任何IP地址”,因為我們要阻止傳入的訪問。下一步。 4)在IP通信目標(biāo)頁面,目標(biāo)地址選”我的IP地址”。下一步。 5)在IP協(xié)議類型頁面,選擇”TCP”。下一步。 6)在IP協(xié)議端口頁面,選擇”到此端口”并設(shè)置為”1433″,其它不變。下一步。 7)完成。關(guān)閉IP篩選器列表對話框。會發(fā)現(xiàn)tcp1433IP篩選器出現(xiàn)在IP篩選器列表中。 4.選擇”管理篩選器操作”標(biāo)簽,創(chuàng)建一個拒絕操作: 1)單擊”添加”按鈕,啟動”篩選器操作向?qū)А保^歡迎頁面,下一步。 2)在篩選器操作名稱頁面,填寫名稱,這兒填寫”拒絕”。下一步。 3)在篩選器操作常規(guī)選項頁面,將行為設(shè)置為”阻止”。下一步。 4)完成。 5.關(guān)閉”管理 IP 篩 選器表和篩選器操作”對話框。 ------------------------------------------------------------------------------------------------------ MSSQL 2005降低權(quán)限運行的方法 ---------------------------------------------- 在服務(wù)器安全方面.MSSQL server的sa提權(quán)是一定要防的.比如刪存儲過程(入侵者可以恢復(fù))和刪DLL都是個方法(入侵這可以自己上傳).但最徹底的辦法.我覺得還是用非system權(quán)限來啟動SQL Server是最好的辦法.絕對直接杜絕sa提權(quán)(當(dāng)然牛人自有辦法.不在此討論范圍).就算溢出SQL Server也得到不了系統(tǒng)權(quán)限.先說下我的失敗之路: 本以為.MSSQL2005和2000差不多.只要把安裝路徑有讀取權(quán)限.MDF文件有寫權(quán)限就可以了.可是啟動服務(wù)的時候.來了個17058號錯誤.不知道為什么.跟傻子說了很久.后來還是自己摸索到了一個辦法.期間還有另一個失敗導(dǎo)致的結(jié)果是服務(wù)啟動后又退出了.忘了當(dāng)時是怎么設(shè)置的了.不過只要按下面的過程走.就絕對沒問題: 1.新建個用戶sqluser.刪除users組的權(quán)限.也就是不屬于任何組.然后給MSSQL Server安裝目錄給上讀取和運行權(quán)限. 2.點開SQL Server的配置工具下的SQL Server Configuration Manager(直譯:SQL Server配置管理器.呵呵).然后點SQL Server2005服務(wù).在SQL Server(EXPRESS)上雙擊.在這里把sqluser的用戶填上.密碼填上.然后確定就是了. 其實經(jīng)過測試.一開始就知道.直接在服務(wù)管理器里填上sqluser的話.啟動不了.因為比network用戶少了點權(quán)限.具體少什么不知道.但是如果用SQL Server配置管理器.會發(fā)現(xiàn)sqluser屬于SQLServer2005MSSQLUser$MEDIA$SQLEXPRESS組了.其中$$之間的是服務(wù)器名字.那么也就自然知道了純手工的辦法.就是在服務(wù)器管理器里把啟動帳戶改成SQLUSER后.還需要把sqluser加如到SQLServer2005MSSQLUser$MEDIA$SQLEXPRESS組中.呵呵...你服務(wù)器上這個組是什么名字.自己看吧.呵呵.. |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識,文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
