艾銻知識(shí) |比較簡(jiǎn)單實(shí)用的WEB安全設(shè)置總結(jié)

2020-03-02 22:12 作者：admin 瀏覽量：

如果二月份因?yàn)橐咔樵诩?，你沒(méi)有體驗(yàn)到春風(fēng)似剪刀的感覺(jué)。
那三月份很快就要來(lái)了，你會(huì)迎著小雨一邊走一邊唱著歌嗎？
在二月里你是怎樣度過(guò)的？你的企業(yè)復(fù)工了嗎？
這一個(gè)月留在你生命中有哪些難忘的記憶呢？
從二月三號(hào)開(kāi)始，艾銻無(wú)限小伙伴就進(jìn)入了自己的工作狀態(tài)：
有的人因?yàn)榉獬且恢痹诩疫h(yuǎn)程為客戶(hù)提供服務(wù)，
有的人回到北京被隔離14天在自己住的地方給客戶(hù)提供服務(wù)，
有的人春節(jié)只休了7天假期就早早回到了北京，
有的人從未離開(kāi)過(guò)北京人，所以他們才能在二月工作26天。
每一種選擇都是選擇，每一種人生都是人生。
我們期望回首2020年的時(shí)候，可以自豪的對(duì)自己說(shuō)，
生命中的每一天，都是最好的一天，
感恩所有人，感恩一切的發(fā)生，感恩逝去的那些日子.
三月是一個(gè)全新的開(kāi)始，送上一篇可以幫你解決技術(shù)難題的文章，讓你更好的投入全新的工作狀態(tài):
艾銻知識(shí) |比較簡(jiǎn)單實(shí)用的WEB安全設(shè)置總結(jié)
服務(wù)器方面 

1、首先是要NTFS格式，并減少u(mài)ser之類(lèi)用戶(hù)的權(quán)限，F(xiàn)AT32格式的磁盤(pán)沒(méi)有權(quán)限設(shè)置，也就沒(méi)有安全可言； 

2、其次是補(bǔ)丁要全，否則服務(wù)器中了木馬，那什么都是白搭； 

3、接著是禁用危險(xiǎn)的組建和服務(wù)項(xiàng)，這個(gè)比較難，如果是簡(jiǎn)單的應(yīng)用還好說(shuō)，如果服務(wù)器里跑著比較糾結(jié)的程序，很可能就會(huì)因?yàn)榻沽四承┙M件或服務(wù)導(dǎo)致無(wú)法運(yùn)行，我對(duì)這個(gè)是比較頭痛的，所以做安全還是有必要知道應(yīng)用所涉及到的權(quán)限以及其他方面； 

4、端口屏蔽，比如普通的WEB服務(wù)器開(kāi)個(gè)21和80以及3389就夠了； 

5、加密傳輸，這個(gè)防止嗅探的，不過(guò)WIN好像沒(méi)自帶； 

6、密碼安全、桌面鎖定軟件、命令函數(shù)更名等其他小的設(shè)置，就和安全意識(shí)有關(guān)了，作用不會(huì)太大，但是比沒(méi)有要好。 

IIS安全 
1、執(zhí)行權(quán)限這個(gè)很重要，不同的站點(diǎn)用不同的匿名用戶(hù)訪問(wèn)，但是這些用戶(hù)不能給權(quán)限，連組都不用加，而且這寫(xiě)單獨(dú)訪客的權(quán)限只在對(duì)應(yīng)的WEB目錄有效，其他盤(pán)都無(wú)效，Everyone之類(lèi)的大權(quán)限統(tǒng)統(tǒng)刪掉…而且大部分目錄不給寫(xiě)入權(quán)，用戶(hù)權(quán)限是WEB安全最重要的一塊； 

2、取消掉沒(méi)用的API擴(kuò)展，搞黑的都知道asp傳不了就用asa或者cer格式的木馬，安全也一樣，沒(méi)用的API擴(kuò)展統(tǒng)統(tǒng)去掉，比如asp的站點(diǎn)只留一個(gè).asp的，其他擴(kuò)展刪掉，你傳了后門(mén)也沒(méi)用； 

3、取消不必要的WEB擴(kuò)展，擴(kuò)展多了漏洞也就多，能少用還是少用吧。 

權(quán)限類(lèi) 
1、站點(diǎn)單獨(dú)用戶(hù)權(quán)，防止跨站，IIS那說(shuō)過(guò)了，其實(shí)這個(gè)可以再I(mǎi)IS設(shè)置，也可以再硬盤(pán)設(shè)置，本質(zhì)都一樣，就是NTFS格式的權(quán)限設(shè)置，而且權(quán)限最多給到讀取寫(xiě)入，不可能再多了； 

2、目錄與文件的權(quán)限設(shè)置，圖片目錄這樣的，給個(gè)讀取權(quán)就可以了，而且腳本都可以禁掉，沒(méi)哪個(gè)圖片是可執(zhí)行的吧… 文件也一樣，HTML的目錄和文件，腳本權(quán)可以禁掉，普通頁(yè)面給個(gè)讀取權(quán)就可以了，寫(xiě)入權(quán)這玩意很危險(xiǎn)，能少給就少給，但是弄錯(cuò)了網(wǎng)站會(huì)崩； 

3、特殊目錄的權(quán)限，像D盤(pán)E盤(pán)這樣的，刪了Everyone就連子目錄的也一并刪了，但是例如system這樣的目錄，沒(méi)有繼承權(quán)，你刪了C盤(pán)的某用戶(hù)，很多子目錄里還是有的，要一個(gè)一個(gè)刪，否則就會(huì)出現(xiàn)像入侵時(shí)候遇到的情況：C盤(pán)無(wú)法訪問(wèn)，但是用戶(hù)文件夾和windows目錄可以訪問(wèn)。 

代碼安全 

1、代碼防注入，這個(gè)是最多的安全問(wèn)題，有了數(shù)據(jù)庫(kù)就有了注入，防御辦法很多，繞過(guò)防御的辦法也很多，很難一概而論，總之還是靠程序員的安全意識(shí)與代碼功底； 

2、上傳漏洞的防止，除了注入上傳也是個(gè)大戶(hù)，很多入侵依賴(lài)上傳，解決方案是：減少上傳數(shù)量，提高驗(yàn)證強(qiáng)度，驗(yàn)證的時(shí)候要固定后綴、類(lèi)型，而不是排除，上傳的文件隨即命名，自動(dòng)修改后綴，上傳目錄不給任何權(quán)限！ 

3、文件命名規(guī)則，一些測(cè)試文件和敏感文件，名稱(chēng)和目錄一定不能讓人猜解，或者加入驗(yàn)證，猜解到了文件也進(jìn)不去； 

4、第三方代碼，這個(gè)要少用，尤其是小團(tuán)隊(duì)寫(xiě)的，DISCUZ這么牛X的代碼都一直爆漏洞，別說(shuō)其他代碼了，原因是這些代碼都是公開(kāi)的，可以從源代碼里找漏洞，很危險(xiǎn)的； 

5、其他一些例如防社會(huì)工程學(xué)漏洞、防爆路徑，就比較難說(shuō)清了，還是安全意識(shí)的問(wèn)題。