您當前所在位置:
首頁 →
網(wǎng)絡安全 →
安全防護 →
使Web服務器遠離腳本攻擊
使Web服務器遠離腳本攻擊
時間:2015-06-28 00:00:00
來源:IT貓撲網(wǎng)
作者:網(wǎng)管聯(lián)盟
我要評論(0)
??? 不少Web服務器都是架設在Windows 2003服務器系統(tǒng)環(huán)境中的���,但是在默認狀態(tài)下該服務器系統(tǒng)存在不少安全漏洞��,許多黑客或者非法攻擊者往往會充分利用這些漏洞�,來攻擊架設在該系統(tǒng)中的Web網(wǎng)站。為了提高Web服務器的運行安全性����,我們有必要及時采取措施,防范Web服務器中的各式腳本攻擊��;下面,本文就為各位貢獻幾則讓Web服務器遠離腳本攻擊的設置巧招���,希望這些內(nèi)容能幫助各位安全維護好服務器系統(tǒng)�!?
??? 從訪問權限下手�,防范腳本攻擊
??? 網(wǎng)站訪問者在訪問Web服務器中的內(nèi)容時���,一般是通過"IUSR_SERVERNAME"用戶帳號實現(xiàn)訪問操作的�,普通訪問者對Web服務器所能執(zhí)行的權限���,就是由"IUSR_SERVERNAME"用戶帳號的權限來決定的����。默認狀態(tài)下,"IUSR_SERVERNAME"用戶帳號是Windows 2003服務器系統(tǒng)在創(chuàng)建IIS的過程中自動創(chuàng)建的�����,該用戶帳號常常是為那些不需要進行身份驗證就能輕松訪問網(wǎng)站數(shù)據(jù)庫內(nèi)容的匿名用戶自動開設的。為了防止這些普通的匿名用戶隨意執(zhí)行Web服務器中的腳本程序�����,導致服務器存在各種安全隱患�,我們有必要對"IUSR_SERVERNAME"用戶帳號的權限進行一些合適的設置�����,下面就是具體的訪問權限設置步驟:
??? 首先以超級管理員權限帳號登錄進Windows 2003服務器系統(tǒng)中�����,在該系統(tǒng)桌面中依次單擊"開始"/"程序"/"附件"/"Windows資源管理器"命令�,在彈出的系統(tǒng)資源管理器窗口中�����,找到Web服務器主目錄所在的文件夾����,并用鼠標右鍵單擊主目錄圖標��,從彈出的右鍵菜單中執(zhí)行"屬性"命令���,打開網(wǎng)站主目錄的屬性設置窗口�����,在該窗口中我們需要將"everyone"帳號對服務器系統(tǒng)中的所有磁盤分區(qū)訪問權限刪除掉,以防止任意一位普通用戶可能對服務器帶來潛在的安全攻擊��。
??? 考慮到"everyone"帳號是任意一個用戶或組權限設置的父對象��,因此在將"everyone"帳號的訪問權限刪除掉之前,我們必須先將子對象對父對象權限繼承關系刪除掉��;在刪除這種權限繼承關系時��,我們可以單擊網(wǎng)站主目錄屬性設置窗口中的"安全"標簽�,打開如圖1所示的安全標簽頁面�, 單擊該標簽頁面中的"高級"按鈕����,進入到主目錄的高級安全設置窗口���,檢查一下該設置窗口中的"允許父項的繼承權限傳播到該對象和所有子對象���。包括那些在此明確定義的項目"項目是否處于選中狀態(tài),要是發(fā)現(xiàn)該選項已經(jīng)選中的話���,我們必須及時將它的選中狀態(tài)取消����,隨后系統(tǒng)會自動彈出如圖2所示的提示窗口�����, 詢問我們是否將父對象的訪問權限拷貝給子對象����,此時我們可以單擊"復制"按鈕,這樣的話我們?nèi)蘸缶筒恍枰獙芾韱T用戶的權限進行重新設置了��。  |
圖1?
??? 接下來我們就能對"IUSR_SERVERNAME"用戶帳號權限進行有針對性設置了。在設置"IUSR_SERVERNAME"用戶帳號權限時�����,我們先從圖1所示的"組或用戶名稱"列表框中選中"IUSR_SERVERNAME"用戶帳號����,然后在對應該帳號下面的權限列表框中將"列出文件夾目錄"、"寫入"��、"讀取"等權限全部設置為"允許"��,而不要將"完全控制"��、"讀取和運行"等權限設置為允許;此外�,對于那些不需要通過Web進行寫入操作的文件夾,我們只需要將"列出文件夾目錄"��、"讀取"等權限賦予給"IUSR_SERVERNAME"用戶帳號就可以了��。到了這里�,作為網(wǎng)站普通訪問者的"IUSR_SERVERNAME"用戶帳號就沒有執(zhí)行腳本的權利����,那么這些普通來賓用戶自然就無法對Web服務器進行各種形式的腳本攻擊了�����,這樣的話Web服務器的安全性就能在一定程度上得到保證了�。
圖2
??? 從腳本權限下手���,防范腳本攻擊
??? 從網(wǎng)站存放文件的類型來看,保存在Web服務器中的文件類型主要分為兩大類�,一類就是各種形式的腳本文件,另外一類就是非腳本文件�����,這包括普通的網(wǎng)頁文件�、數(shù)據(jù)庫文件以及各種格式的圖象文件等。所以�,為了保護Web服務器的安全,我們有必要對不同類型文件的執(zhí)行權限進行有針對性地設置����,確保Web服務器中的各種腳本文件能夠被安全����、穩(wěn)定地執(zhí)行,而避免非腳本文件被隨意執(zhí)行�����。
??? 在設置腳本文件的執(zhí)行權限時�,我們可以先依次單擊"開始"/"程序"/"管理工具"/"Internet信息服務管理器"命令,在彈出的IIS控制臺窗口中�����,找到存放各類腳本文件的指定文件夾��,并用鼠標右鍵該文件夾所對應的圖標����,從隨后彈出的快捷菜單中執(zhí)行"屬性"命令����,打開對應文件夾的屬性設置窗口����。
????? 圖3?
??? 單擊該設置窗口中的"目錄"標簽,打開如圖3所示的標簽頁面�, 在該頁面的"應用程序設置"處,單擊"執(zhí)行權限:"右側的下拉按鈕�����,從隨后彈出的下拉列表中選中"純腳本"選項��,并單擊"確定"按鈕,那樣的話指定目錄中的腳本文件才能被網(wǎng)站服務器執(zhí)行,而對于那些不屬于腳本類型的文件都不會被執(zhí)行���。按照相同的操作方法��,我們打開網(wǎng)站中其他目錄的屬性設置界面�����,并在該界面中將其他目錄的應用程序執(zhí)行權限設置為"無"����,那樣一來其他目錄中的腳本或者普通文件都不會被網(wǎng)站服務器系統(tǒng)執(zhí)行的。
??? 從站點配置下手�����,防范腳本攻擊
??? 一旦按照上面的方法將數(shù)據(jù)庫文件下面的ASP腳本拒絕執(zhí)行的話���,許多人會認為他們將無法繼續(xù)使用ASP腳本執(zhí)行錯誤的方法來避免網(wǎng)站數(shù)據(jù)庫文件被惡意下載了����;事實上����,我們只要對目標網(wǎng)站的應用程序配置參數(shù)進行合適修改,同樣能夠有效地保護網(wǎng)站數(shù)據(jù)庫文件被惡意下載��。下面�����,本文就以保護ACCESS類型的數(shù)據(jù)庫為操作藍本�����,向各位朋友介紹一下如何從站點配置下手�,來保護網(wǎng)站數(shù)據(jù)庫文件被惡意下載的具體設置操作:
??? 首先以超級管理員權限登錄到IIS服務器所在的計算機系統(tǒng)���,然后在該系統(tǒng)桌面中依次執(zhí)行"開始"/"程序"/"管理工具"/"Internet信息服務管理器"命令����,打開服務器系統(tǒng)的IIS控制臺窗口���,并從該窗口的左側列表區(qū)域找到目標網(wǎng)站選項�,再用鼠標右鍵單擊該網(wǎng)站選項,從彈出的右鍵菜單中執(zhí)行"屬性"命令�,進入到該目標網(wǎng)站的屬性配置窗口.
??? 單擊該配置窗口中的"主目錄"標簽,并在對應的標簽頁面中單擊"配置"按鈕���,打開如圖4所示的應用程序配置界面�����; 在該配置界面中單擊"添加"按鈕�����,進入到如圖5所示的添加對話框��; 在其中的"擴展名"文本框中輸入&
關鍵詞標簽:Web服務器,腳本攻擊
相關閱讀
熱門文章
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程
![騰訊QQ密碼防盜十大建議]()
騰訊QQ密碼防盜十大建議
人氣排行
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程
xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口
什么是IPS(入侵防御系統(tǒng))
企業(yè)網(wǎng)絡安全事件應急響應方案
ARP協(xié)議的反向和代理
Windows Server 2008利用組策略的安全設置
