web安全加固
IIS加固
管理工具-->IIS管理器-->網(wǎng)站-->dvbbs-->右鍵-->屬性(以下配置大多數(shù)都在這里修改)
修改默認(rèn)日志路徑
默認(rèn)日志路徑:c:\windows\system32\logfile
修改到其他路徑:d:\dvbbslog芬膝,可以設(shè)置為system讀寫,administrator只讀權(quán)限
修改日志屬性
網(wǎng)站-->屬性-->高級(jí)(日志記錄屬性):勾選協(xié)議版本、勾選cookies(小技巧拗胜,查找日志的關(guān)鍵在于選擇關(guān)鍵字蔗候,如在日志里面搜索404關(guān)鍵字,因?yàn)槿绻粽邔?duì)網(wǎng)站進(jìn)行猜后臺(tái)的時(shí)候肯定會(huì)嘗試提交不同的目錄埂软,沒有攻擊者提交的文件目錄就會(huì)返回404錯(cuò)誤锈遥,因此可以借助日志信息判斷遭受何種攻擊)
刪除所有不必要的映射(擴(kuò)展名)
主目錄--配置--映射(如使用aspx、asp的就僅僅留下這兩個(gè)勘畔,其余的全部刪除所灸,如cer,cdx等[這是為了防止上傳網(wǎng)馬])
不要向客戶端發(fā)送詳細(xì)信息
想客戶端不要發(fā)送詳細(xì)信息炫七,應(yīng)該發(fā)送自定義的信息爬立,如可以發(fā)送“110網(wǎng)站監(jiān)控...”
主目錄-->配置-->選項(xiàng)(調(diào)試)
IIS權(quán)限
不給寫入和目錄瀏覽(寫入會(huì)上傳網(wǎng)馬,目錄瀏覽會(huì)導(dǎo)致目錄遍歷甚至下載)
限制后臺(tái)登錄的IP地址
登錄后臺(tái)地址:admin--右鍵--屬性--目錄安全性--允許特定的IP地址或IP地址段
刪除所有的自定義錯(cuò)誤
c:\windwos\help\iishelp
數(shù)據(jù)庫(kù)加固
- 禁止webserver和數(shù)據(jù)庫(kù)服務(wù)器同臺(tái)万哪,防止應(yīng)用漏洞擴(kuò)散到數(shù)據(jù)庫(kù)
- 修改默認(rèn)庫(kù)表的位置和默認(rèn)名字:admin修改為abcuser等
- 認(rèn)證時(shí)保證口令足夠復(fù)雜侠驯;權(quán)限需要控制(最好能做到行、列的控制)奕巍;對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行加密吟策,做好日志審計(jì)
- 防數(shù)據(jù)庫(kù)下載:可以將數(shù)據(jù)庫(kù)重定向到URL:網(wǎng)站--dvbbs--data--dvbbs7.mdb--右鍵--屬性--重定向到www.dvbbs.com(注意勾選“上面正確的URL”)
NTFS加固
- 在網(wǎng)站目錄的文件夾上面點(diǎn)擊右鍵進(jìn)行操作,c:\bbs--右鍵--安全性
- 終極防webshell:能寫的不能執(zhí)行,能執(zhí)行的不能寫入
- 刪除所有的默認(rèn)權(quán)限(配置權(quán)限時(shí)由小極大),安全--高級(jí)--父集成權(quán)限全部取消
- 添加管理員administrator(注意不是administrators)的止,完全控制
- 添加IIS_WPG:完全控制
- 添加iusr_xxx(xxx表示計(jì)算機(jī)名)檩坚,設(shè)置只讀權(quán)限
- 確定哪些目錄需要寫入權(quán)限:data(數(shù)據(jù)庫(kù)需要寫入)、databackup(備份權(quán)限)诅福、uploadfile(文件上傳目錄)匾委、uploadface等,給iusr_xxx寫入權(quán)限
- 給以上具有寫入權(quán)限的目錄拒絕執(zhí)行的權(quán)限:IIS管理器--網(wǎng)站--dvbbs--目錄(分別找到以上目錄):右鍵--屬性(腳本執(zhí)行權(quán)限選擇無(wú)):權(quán)限:無(wú)
