以Windows 2000(2003) + IIS + ASP 平台建设的Web 服务器是常用的一种建站方式。Windows 2000(2003)操作系统的一个主要特色就是将IIS 融入其内核之中,并提供一些用来配置和维护软件的向导工具,使构建一个Internet 网站轻而易举。但微软操作系统的漏洞却是不容忽视的,它给网站安全埋下了一颗无形的定时炸弹。不过,如果能够在建站之初就对网站安全的细微之处加以注意和防范,就能使网站安全事半功倍。
本文结合笔者亲历实践,详细分析了使用这种模式建站所面临的各个层次的安全问题,并给出了相应的解决方法,特别是一些细节性的问题。
系统安全
微软的操作系统以功能强大著称,但其漏洞也层出不穷。因此,如果采用Windows 平台作为Web 服务器,在安装和配置时就要注意以下几点:
(1)系统安装完毕,应该及时给系统打上各种补丁。可以在服务器上安装360 安全卫士,通过该软件自动扫描系统漏洞,并下载安装相应的补丁。
(2)不要安装多余的服务和协议。因为有的服务本身就存在漏洞,多余的协议也会占用系统资源,所以不妨把无用的服务和协议停止或关闭(例如FTP、STMP 等)。
(3)安装专业的防病毒软件和防火墙软件。
网站配置安全
优化可靠的IIS 配置是网站安全成功的基础,不妨从以下几方面做好安全配置:
(1)尽量不要把网站安装在默认的C:\Inetpub\wwwroot\目录下。
主要原因有两个:一是C 盘是系统盘,很多因素都可能破坏系统,导致数据丢失等意外情况发生;二是如果选择默认安装,黑客很容易就能猜出安装的位置,并对网站实施攻击。可以安装在除系统盘外的其他分区,并删除默认建立的站点的虚拟目录,停止默认Web 站点,即删除对应的文件目录C:\Inetpub,配置所有站点的公共设置,设置好相关的连接数限制。
(2)在配置网站安全策略时,在IIS 站点配置时如果没有特殊要求,不要勾选“脚本资源访问”、“写入”、“目录浏览”这3 个选项。
不选“脚本资源访问”,能有效阻止客户端运行一些服务器端的程序;不选“写入”,可防止客户上传一些可执行文件;不选“目录浏览”,就能使客户端猜不出网站的路径结构。
同时,还要删除所有不必要的应用程序扩展,只保留如asp、aspx 等有用的应用程序扩展。
(3)对上传文件进行严格的控制,一般不允许可执行文件如exe、bat 等文件的上传。
程序代码安全
很多网站已经部署了足够的安全设备,但还是经常遭遇黑客攻击或病毒入侵,这就要考虑一下问题是否出在程序代码不安全或属性设置不当之上。
例如下面的案例。
案例:整个网站看起来很正常,但在打开首页或其他某一页面时出现空白,或弹出其他页面。如果不安装个人防火墙,不知道问题出在哪里;如果安装了个人防火墙,则会弹出诸如“拦截到一个木马或恶意广告页面URL:http://ff1114.2288.org”的提示信息。
这时,如果您打开网站首页文件或数据库连接文件index.asp 或者default.asp、conn.asp 等,就会发现文件最后一行写入了一句挂马代码,如或
因此,网站配置好后,在应用程序开发与管理中要做好程序代码的安全工作。
1. 将网站的程序文件改为“只读”属性
一般写入挂马代码的多是index.asp、default.asp、conn.asp、top.asp 等文件,从安全角度考虑,建议将网站中的文件除必要数据库文件和JS 刷新文件外,均设置为“只读”,防止黑客在程序中写入语句。
2. 防止SQL 注入
许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(在浏览器地址栏中,通过正常的WWW 端口访问),根据程序返回的结果获得某些想要知道的数据,这就是所谓的SQL 注入。
对于这种情况, 如果程序是自行开发的, 一般的HTTP 请求不外乎GET 和POST,所以只要在文件中过滤所有POST 或者GET 请求中的参数信息中的非法字符即可。如果是采用动易等免费代码的,一般都有防SQL 注入功能,只要将该保护功能开启即可。
3. 关闭不必要的“注册”和“忘记密码”等功能
很多网站采用的都是网上免费的源码,如动易、风讯等,但这些程序中也会有一些漏洞,如动易中的“忘记密码”很容易被人猜出用户的问题答案,并最终修改密码,获得一定的权限。因此,如果没特别需要,建议关掉“注册”和“忘记密码”这两个功能。
数据库安全
数据库是一个网站的核心,如果数据库出现安全问题,轻则数据泄密,重则数据全毁,很可能会造成无法挽回的损失。因此,加强数据库安全是每位网管工作者必须考虑的内容。
(1)如果数据库采用Access,由于服务器端的mdb 文件可以被用户下载,数据库将变得很危险。
一般情况下,Access 数据库文件存放在相应的Web 目录中,很多黑客就是利用这种规律来查找并下载数据库文件的,进而窃取重要的数据。因此,如果采用Access 数据库,就要将数据库文件的后缀名由mdb 改为asp 或asa,还要更改数据库文件夹的习惯名称data 或database 等,并转移数据库的位置。特别是对于下载的模板,一般数据库存放
在特定的位置,很容易被人猜出。因此,可以采用改变数据库文件存储位置的方法,将数据库文件存放在Web 目录以外的某个文件夹中,让黑客难以猜测存储位置。同时,修改好数据库连接文件(如conn.asp)中的数据库文件相应信息。这样Access 数据库文件就安全多了。
(2)对于专用的MSSQL 数据库服务器,可以设置TCP/IP 筛选和IP 策略,对外只开放1433。
由于SQL Server 不能更改或删除sa 用户,因此必须为这个账号设置一个非常强壮的密码。当然,最好不要在数据库应用中使用sa 账号,只有当没有其他方法登录到SQL Server(例如,当其他系统管理员不可用或忘记了密码)时才使用sa。
建议数据库管理员新建立个拥有与sa 一样权限的超级用户来管理数据库。使用混合身份验证, 加强数据库日志的记录, 审核数据库登录事件的“成功和失败”, 删除一些不需要的和危险的OLE 自动存储过程等。
总之,没有绝对安全的方法,只有从细小处着手,加强安全意识,注意安全防范,才可能打造一个相对安全可靠的网站。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:网站安全从小处着手
本文网址:http://www.toberp.com/html/consultation/1083946845.html
相关文章
