技术改变世界 阅读塑造人生! - shaogx.com

This string was altered by TechBlog\Plugins\Example.; This is an example to show the potential of an offcanvas layout pattern in Bootstrap. Try some responsive-range viewport sizes to see it in action.

如何选择标准Web应用程序监视工具

最可靠的Web应用监控程序是什么?我们应该用什么标准来比较呢?首先考虑你是否要解决以下其中一个或多个问题:◆监视Web服务器资源(CPU/内存利用率、存储等)◆监视Web应用的可用性和响应性◆检测异常,如安全扫描、潜在黑客或拒绝服务攻击◆用于市场营销目的页面加载、点击率追踪等等... 全文

Web应用监控工具 Web服务器

企业需慎用第三方Web应用程序

中小型企业使用了很多第三方web应用程序:因为第三方应用程序能够为他们节省开支,并且能够允许他们嵌入他们不可能有的专业技术。但是同时,这也为他们的业务和消费者带来安全隐患。... 全文

Web应用程序 Web安全

用户容易忽视的Web应用安全威胁

Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。Web应用系统的安全风险达到了前所未有的高度。本文详细剖析了Web应用中的常见漏洞及攻击方式,全面分析Web应用系统的安全风险。Web应用系统是由操作系统和Web应用程序组成的。许多程序员不知道如何开发安全的应用程序,他们没有经过安全编码的培训。他们的经验也许是开发独立应用程序或企业 Web应用程序,这些应用程序没有考虑到在安全缺陷被利用时可能会出现灾难性后果。Web应用的大多数安全问题都属于下面三种类型之一:◆服务器向公众提供了不应该提供的服务,导致存在安全隐患。◆服务器把本应私有的数据放到了公开访问的区域,导致敏感信息泄露。... 全文

Web应用安全 Web应用程序

Web 防护新贵:认识 Web 应用防火墙

目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换Web网站主页,到取管理员密码,破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别,传统的防火墙对于这些攻击变得毫无作用。今后的几个月里,Citrix、Barracuda-NetContinuum、F5 Networks、Imperva和Protegrity 将对其新产品Web应用防火墙增加一些功能,以使它们在保护联网的企业数据方面发挥更大的作用。有效保卫应用程序... 全文

Web 应用防火墙 网络攻击

保护(IIS)WEB服务器的15个技巧

通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。推荐专题:IIS服务“讲武堂”... 全文

服务器 Web Web服务

windows下安装apache web服务器

随着互联网普及程度的日益提高,越来越多的实体和个人投入到了网络的怀抱。而拥有自己的网站,也成为越来越多的人的目标。而一个高效率的WEB服务器则是对一个网站的强有力的支持!下面,我将根据自己的学习和实际操作经验来和大家讨论一下WEB服务器的架设,不妥之处,敬请指正!(本文所讲的内容,也适用于单机!想用自己的机器作WEB服务器的朋友也可以参考)本文所有环境是基于Windows 2000系统,其他环境下的服务器配置可以参考本文的部分内容!  本文所讲的WEB服务器,是以Windows2000作为操作系统(Windows2000最好不要安装IIS5.0),以Apache(阿帕奇)作服务器软件,在此基础上配置PHP,Mysql和Perl。从而构成一个界面友好,稳定性和抗负荷性良好,功能十分强大的WEB服务器系统。但是对于高负荷的大型网站来说,本文所讨论的服务器配置还显得比较“单薄”。  现在,我们开始讨论服务器的配置过程:(一)安装配置Apache1.3.17  Apache是全世界范围内使用范围最广的WEB服务软件,超过50%的网站都在使用Apache,它以高效、稳定、安全、免费(最重要的一点)而成为了最受欢迎的服务器软件!目前的最新版本为1.3.17,大家可以访问[url]http://www.apache.org[/url]下载。请下载for win32的无原码版本(Apache_1.3.17-win32-no_src.msi).最新版的Apache for win32开始使用MSI的形式发布。从而使windows环境下安装Apache变得非常简单。下面就说说它的具体安装过程:  1、双击Apache的安装文件,和普通windows程序安装一样,一路点“Next”就可以。  2、安装程序要求你输入你的Network Domain(网络域名:形如xxx.com);Server Domain(服务器域名:形如http:/www.xxx.com)和网站管理员的e-mail。有的话就按实填写,个人用户若没有的话可以按格式随便填一下。  3、到了选择安装路径,本人强烈建议你将安装路径改为“C:\”,因为这样可以省去好多的配置麻烦。  4、一路“Next”直至“Finish”。安装就结束了。  这时,你的Apache已经启动了,你可以在IE地址栏里输入:http:/localhost/或http:/127.0.0.1看看。在“管理工具”的“服务”项中,也可以找到Apache服务的身影了,以后Apache就可以作为一项Windows2000服务,随着机器的启动而运行了!  以上讲了Apache的安装,下面接着来讨论Apache的配置,使其工作的更好!  Apache的核心配置文件是httpd.conf,存放路径为“Apache的安装路径\conf\”,在1.3.17版中,它的作用更加明显了。用记事本打开它,开始修改配置!限于篇幅,这里只讲一些重要的、必须的配置修改!(说明一点:“#”为Apache的注释符号)  1、寻找到ServerName。这里定义你的域名。这样,当Apache Server运行时,你可以在浏览器中访问自己的站点。如果前面有#,记得删除它。  2、寻找到ServerAdmin。这里输入你的E-Mail地址。  (以上两条在安装时应该已经配置好了,所以不必改动,这里介绍一下,主要是为了日后的修改)  3、寻找到。向下有一句Options,去掉后面所有的参数,加一个All(注意区分大小写!A大写,两个l小写。下同。);接着还有一句Allow Override,也同样去掉后面所有的参数,加一个All。  4、寻找到DocumentRoot。这个语句指定你的网站路径,也就是你主页放置的目录。你可以使用默认的,也可以自己指定一个,但记住,这句末尾不要加“/”。此外注意,路径的分隔符在Apache Server里写成“/”(用惯了windows的朋友是不是觉得有些别扭呢?)。  5、寻找到DirectoryIndex。这就是你站点第一个显示的主页,在index.html的后面加入index.htm index.php index.php3 index.cgi index.pl。注意,每种类型之间都要留一空格!这里添加好了,以后就不用再麻烦了。  6、特别说明一点就是port(端口号),如果没安装IIS的话,就保持80不要变,否则,就要改一下(因为IIS的WEB服务占据了80),可以改成81等等,或者干脆改IIS的默认端口号!随你高兴。但我个人认为,ASP没什么好的,某些方面根本比不过PHP。所以建议IIS就不要装了,更何况IIS的安全性本人实在是不敢恭维!!  好了,Apache安装配置完成,至于怎么让它支持PHP,CGI,请看后面的专门介绍。接下来,我们来安装一下MySQL。(二)安装MySQL3.2.32  MySQL是一个真正的多用户、多线程SQL数据库服务器。SQL(结构化查询语言)是世界上最流行的和标准化的数据库语言。MySQL是以一个客户机/服务器结构的实现,它由一个服务器守护程序Mysqld和很多不同的客户程序和库组成。  SQL是一种标准化的语言,它使得存储、更新和存取信息更容易。例如,你能用SQL语言为一个网站检索产品信息及存储顾客信息,同时MySQL也足够快和灵活以允许你存储记录文件和图像。  MySQL的官方发音是“My Ess Que Ell”(不是 MY-SEQUEL )。  在windows中安装MySQL是非常简单的,只需4步:  1、见下载回来的压缩文件解压至任意目录中。  2、点击解压目录中的setup安装。什么都不要改,一路“Next”至“Finish”(不推荐修改安装路径)。  3、在“运行”中输入:“c:\mysql\bin\mysqld-nt -install,运行!  4、在“管理工具”中的“服务”项里找到“Mysql”服务,启动它,然后Restart Your Computer!  到此,Mysql数据库系统安装完成,下面我们开始安装配置PHP!(三)安装配置PHP  PHP是一种服务器端解释的脚本语言。如果你接触过ASP的话,那么您对于在HTML页面中嵌入代码应该是比较熟悉了。PHP代码在服务器一端被解释转变成普通的HTML页面内容,送给浏览器一端。这种模式使得我们可以用它来完成相当复杂的功能。  PHP支持Internet开发的一些前沿技术。这些技术包括身份认证、XML、动态图象生成、WDDX、共享内存,以及动态PDF文档等等,(更重要的一点是:这些全部都是免费的)不一而足。如果您还不满意的话,PHP是很容易扩展的,所以只要您有编程能力,您尽可以自己大展身手一番.  OK!介绍完了!下面开始我们的PHP旅程!  1、关闭Apache服务  2、将PHP的压缩文件解压至“c:\php”中(别改路径了!否则以后的配置....哼哼)。  3、把 c:\PHP\php4ts.dll 拷到 c:\winnt\system32 下,覆盖任何原有文件。  4、把 c:\php.ini-dist改名为php.ini,拷贝到c:\winnt下。  5、下面介绍两种安装模式:Apache模块法和CGI法    5.1、Apache模块法:在 httpd.conf 中加入如下几行:(随便什么地方都可以,但要单独成行)  LoadModule php4_module c:/php/sapi/php4apache.dll  AddType application/x-httpd-php .php php3    5.2、CGI法:在 httpd.conf 中加入如下几行:  ScriptAlias /php/ "C:/php/"  Action application/x-httpd-php4 "/php/php.exe"  AddType application/x-httpd-php4 .php  笔者在这里强烈建议您选择Apache模块法,因为这样能使您获得更好的性能和安全性!!!CGI法只需要了解就可以了!  6、重启Apache  PHP也安装调试完毕!下面编写一段代码:  〈html〉  〈body〉  〈?  phpinfo();  ?〉  〈/body〉  〈/html〉  存为test.php,放到你的Apache默认文档中,在IE中输入http:/127.0.0.1/test.php偷着乐去吧!!(可以看到php的运行模式为Apache)  有的朋友会问:为何没有php.ini的修改介绍呀?这是因为:如果你按默认方式安装的PHP4的话,那么php.ini的设置已经完全没有问题了,而优化php.ini也不是几张纸能讲完的。所以,普通用户在这里就不需要修改php.ini了。  紧接着,我们在下一章继续配置Apache,使其能够支持Perl编写的CGI程序!(四)安装配置Perl  Perl是目前最流行的几种web脚本编写语言之一,它的文本处理能力和安全性无人能及(PHP也只能望其项背),细心的朋友可能早就发现,PHP和Perl有很多相似的地方,那时因为PHP在产生的时候受到了Perl的很大影响,甚至PHP的雏形就是使用Perl编写的!现在,网上有很多关于Perl的讨论,说CGI太慢,Perl过时了等等,我个人认为,Perl没有过时,它一直在努力的发展!它仍然是世界上不可替代的web脚本编写语言!!  好了,废话少说!下面,让我们一起来讨论Perl的安装配置。Come On!!  1、双击Perl5.6的安装程序,(默认路径不要改)完成安装。  2、寻找,往下面第9行有一句Options,把后面的参数全去掉,加一个All,(注意大小写)。再往下有一句AllowOverride,也把后面的None换成All。  3、寻找到ScriptAlias /cgi-bin/ "C:/Apache/cgi-bin/"。删除前面的#,将""中的路径指向你存放CGI脚本的目录,也就是,这个目录中的CGI脚本可以被执行。  4、寻找到。将""中的路径指向你存放CGI脚本的目录,要与上面的相同。更改下面的Options、Allow Override的参数为All(注意大小写)。  5、寻找到AddHandler cgi-script .cgi。删除前面的#,在后面加上 .pl。变为AddHandler cgi-script .cgi .pl  6、特别特别需要注意的是:你的perl脚本中的perl解释路径,应改为: #!c:/perl/bin/perl。否则的话会出现500错误!  Perl的安装配置也介绍完了,至此,你就拥有了一个性能非常不错的WEB服务器!它支持PHP,CGI以及MySQL!已经完全能够满足一般中型站点的需要了!(五)PHP的优化  安装Zend Optimizer(Zend优化器)  Zend Optimizer(以下简称ZO)用优化代码的方法来提高PHP 4.0应用程序的执行速度。实现的原理是对那些在被最终执行之前由运行编译器(Run-Time Compiler)产生的代码进行优化。  一般情况下,执行使用ZO的PHP程序比不使用的要快40%到100%。这意味着网站的访问者可以更快的浏览网页,从而完成更多的事务,创造更好的客户满意度。  1、终止Apache服务,并且一定要使用ZO的windows版(一定要记住)  2、 把ZendOptimizer.dll拷贝到这个目录  c:\ZendOptimizer  3、把下列行加入php.ini,不要加入任何空格  zend_optimizer.optimization_level=15  zend_extension_ts="ZO的安装目录\ZendOptimizer.dll"  4、重启Apache。  重新运行刚才已编好的test.php程序!可以发现多了一行:  with Zend Optimizer v1.0.0, Copyright (c) 1998-2000, by Zend Technologies  这表示ZO已经安装成功!!  如果你担心自己辛辛苦苦编写的PHP代码外泻的话!可以考虑使用Zend Encoder,它可以将PHP程序加以编码後执行,但是2400美元的软件费用也实在是太高!!(不过可以免费试用30天)... 全文

Web服务器 Apache 服务器 windows web

Web时代安全如何突围?

随着互联网的普及,越来越多的应用和业务开始依托Web展开,各种各样的安全威胁和攻击也渗透其中。要想揪出躲在这些应用中的"毒瘤",并不是一件容易的事情,至少传统的针对网络层的安全产品是无能为力的。那么,谁能保障我们的Web应用安全?我们又该如何正确地认识这类安全产品?带着这样的问题,记者采访了杭州安恒信息技术有限公司总裁兼技术总监范渊先生。针对Web时代的安全威胁,什么样的防护手段才是真正有效的?... 全文

WEB安全 WEB应用防火墙 安恒信息

走出WEB应用防火墙认识误区

Web应用的日益普及和Web攻击的与日俱增,让Web安全问题备受关注。但对于正常流量中的危险分子,传统的安全产品根本无能为力,此时,我们该靠什么来保护Web应用?Web应用防火墙无疑是最佳之选。但Web应用防火墙究竟是什么?它和传统的安全产品有什么不同?应用起来又有要注意什么?请看《走出Web应用防火墙认识误区》系列文章。发挥作用需要一个过程... 全文

WEB应用 防火墙 Web安全

Web开发常见的几个漏洞解决方法(1)

平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重,基本上由于是内网系统,一般也很少会受到攻击,但有时候一些系统平台,需要外网也要使用,这种情况下,各方面的安全性就要求比较高了,所以往往会交付给一些专门做安全测试的第三方机构进行测试,然后根据反馈的漏洞进行修复,如果你平常对于一些安全漏洞不够了解,那么反馈的结果往往是很残酷的,迫使你必须在很多细节上进行修复完善。本文主要根据本人项目的一些第三方安全测试结果,以及本人针对这些漏洞问题的修复方案,介绍在这方面的一些经验,希望对大家有帮助。... 全文

Web开发 Web

Abyss Web服务器远程目录遍历漏洞

信息提供:安全公告(或线索)提供热线:51cto.editor@gmail.com漏洞类别:远程目录遍历漏洞 攻击类型:远程攻击 发布日期:2002-08-22 更新日期:2002-08-27 受影响系统:... 全文

漏洞 服务器 Web Web服务

Linux快速构建apache web服务器

作者:田逸(sery@163.com) apache服务器的最新稳定发布版本是httpd-2.2..0,官方下载地址是:http://httpd.apache.org/download.cgi。我们通过下面的步骤来快速的搭建一个web服务器。 1、 下载源码文件httpd-2.2.0.tar.gz 到linux服务器的某个目录。 2、 解压文件 # tar zxvf httpd-2.2.0.tar.gz . 3、 配置 # ./c ╟refix=/usr/local/apache //指定安装目录,以后要删除安装就只需删除这个目录。 4、 编译和安装。 # make ; make install . 5、 编写启动脚本,把它放到目录 /etc/rc.d/init.d/里,这里取名为httpd,其内容如下: #!/bin/bash #descripti server #chkc 235 98 98 case "$1" in start) echo "starting apache daemon..." /usr/local/apache2/bin/apachectl -k start ;; stop) echo "stopping apache daemon..." /usr/local/apache2/bin/apachectl -k stop ;; restart) echo "restarting apache daemon..." /usr/local/apache2/bin/apachectl -k restart ;; status) statusproc /usr/local/apache2/bin/httpd ;; *) echo "usage: $0 {start|stop|restart|status}" exit 1 ;; esac 注意:#descripti server 这一行必须加上,否则在执行命令 # chkc ╟add httpd 时会出现“service apache does not support chkc 2345 98 98 表示在执行命令 # chkc ╟add httpd 时会在目录 /etc/rc2.d/ 、/etc/rc3.d/ /etc/rc5.d 分别生成文件 s98httpd和 k98httpd。这个数字可以是别的。 6、 执行命令 # chkc ╟add httpd ,进入目录/etc/rc3.d/检查是否生成文件 s98httpd及k98httpd. 7、 启动服务 # service httpd start . ... 全文

linux 服务器 Apache Web服务器 web

如何构建安全的Web应用程序

多年以来,安全专家们都在警告人们Web应用程序的漏洞,而这些警告往往会变成现实。我们经常看到这样的报道:黑客成功地渗透进入了一个Web应用。黑客或网络罪犯们也在共享新发现的漏洞,分享他们的成功故事或者对下一个目标的研究。我们不可能保证企业网络绝对无法渗透,而且黑客们已经证明了这一点,那么,为保障这些关键的企业应用,编程者应该做点儿什么呢?... 全文

Web应用安全 Web应用 编程安全

如何用IIS建立高安全性Web服务器

IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,如何加强IIS的安全机制,建立一个高安全性能的Web服务器,已成为IIS设置中不可忽视的重要组成部分。... 全文

服务器 安全 Web Web服务

Web 2.0 widgets:企业需保护Web插件的安全

Widget(微件),或小型Web应用程序,是深受用户喜爱的、用于在不同的Web 2.0 网站上表现自我的工具或Web插件,如在Facebook和Twitter;同时,一些组织机构也利用它们来获得其他网站的内容。但是,随着web 2.0程序和Web插件日益成为商业活动中不可或缺的一部分,企业可能需要防范一些新的严重安全隐患。... 全文

widgets Web安全

Web应用程序安全必须重视八大问题

对于任何一个项目,开始阶段对于交付安全的应用来说非常关键。适当的安全要求会导致正确的安全设计。下面讨论在分析Web应用程序的安全要求时需要考虑的八大问题。1、认证和口令管理:这主要是一种一次性的活动而且仅仅是作为项目的一部分而完成的。有人可能会问一些与认证和口令管理有关的问题:◆口令策略:这个问题非常重要的原因在于避免与用户凭据有关的字典攻击。◆口令哈希算法:确保通过适当的加密算法来加密口令也非常重要。◆口令重置机制:为了避免黑客修改或截获口令,重置机制非常关键。... 全文

Web应用程序安全 Web应用安全

精心配置IIS打造安全Web服务器

因为IIS(Internet Information Server)的方便性和易用性,所以成为最受欢迎的Web服务器软件之一。但是,IIS从诞生起,其安全性就一直受到人们的置疑,原因在于其经常被发现有新的安全漏洞。虽然IIS的安全性与其他的Web服务软件相比有差距,不过,只要我们精心对IIS进行安全配置,仍然能建立一个安全性的Web服务器的。构造一个安全的Windows 2000 操作系统要创建一个安全可靠的Web服务器,必须要实现Windows 2000操作系统和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全。实际上,Web服务器安全的根本就是保障操作系统的安全。使用NTFS文件系统在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。而在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。关闭默认共享在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。共享权限的修改在系统默认情况下,每建立一个新的共享,Everyone用户就享有“完全控制”的共享权限,因此,在建立新的共享后应该立即修改Everyone的缺省权限,不能让Web服务器访问者得到不必要的权限,给服务器带来被攻击的危险。为系统管理员账号改名对于一般用户,我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数,但对系统管理员账号(adminstrator)却无法限制,这就可能给非法用户攻击管理员账号口令带来机会,所以我们需要将管理员账号更名。具体设置方法如下:鼠标右击“我的电脑” “管理”,启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(administrator)”,选择“重命名”,将管理员帐号修改为一个很普通的用户名即可。禁用TCP/IP 上的NetBIOSNetBIOS是许多安全缺陷的源泉,所以我们需要禁用它。鼠标右击桌面上“网络邻居” “属性”  “本地连接”  “属性”,打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)” “属性” “高级” “WINS”,选中“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS,如图1。 TCP/IP上对进站连接进行控制方法一 利用TCP/IP筛选鼠标右击桌面上“网络邻居” “属性” “本地连接” “属性”,打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)” “属性” “高级” “选项”, 在列表中单击选中“TCP/IP筛选”选项。单击“属性”按钮,选择“只允许”,再单击“添加”按钮,如图2,只填入80端口即可。 方法二 利用IP安全策略IPSec Policy Filters(IP安全策略过滤器)弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞,可以实现更仔细更精确的TCP/IP安全。它是一个基于通讯分析的策略,将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合,然后据此允许或拒绝通讯的传输。我们同样可以设置只允许80端口的数据通过,其它端口来的数据一律拦截。防范拒绝服务攻击DDoS攻击现在很流行,例如SYN使用巨量畸形TCP信息包向服务器发出请求,最终导致服务器不能正常工作。改写注册表信息虽然不能完全阻止这类攻击,但是可以降低其风险。打开注册表:将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。这样可以使TCP/IP调整SYN-ACKS的重传,当出现SYN-ATTACK迹象时,使连接对超时的响应更快。保证IIS自身的安全性IIS安全安装在保证系统具有较高安全性的情况下,还要保证IIS的安全性。要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。不要将IIS安装在系统分区上默认情况下,IIS与操作系统安装在同一个分区中,这是一个潜在的安全隐患。因为一旦入侵者绕过了IIS的安全机制,就有可能入侵到系统分区。如果管理员对系统文件夹、文件的权限设置不是非常合理,入侵者就有可能篡改、删除系统的重要文件,或者利用一些其他的方式获得权限的进一步提升。将IIS安装到其他分区,即使入侵者能绕过IIS的安全机制,也很难访问到系统分区。修改IIS的安装默认路径IIS的默认安装的路径是\inetpub,Web服务的页面路径是\inetpub\wwwroot,这是任何一个熟悉IIS的人都知道的,入侵者也不例外,使用默认的安装路径无疑是告诉了入侵者系统的重要资料,所以需要更改。打上Windows和IIS的补丁只要提高安全意识,经常注意系统和IIS的设置情况,并打上最新的补丁,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。IIS的安全配置删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。删除危险的IIS组件默认安装后的有些IIS组件可能会造成安全威胁,应该从系统中去掉,以下是一些“黑名单”,大家可以根据自己的需要决定是否需要删除。● Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。● SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。● 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。为IIS中的文件分类设置权限除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行权限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:● 静态文件文件夹:包括所有静态文件,如HTM 或HTML,给予允许读取、拒绝写的权限。● ASP脚本文件夹:包含站点的所有脚本文件,如cgi、vbs、asp等等,给予允许执行、拒绝写和读取的权限。● EXE等可执行程序:包含站点上的二进制执行文件,给予允许执行、拒绝写和拒绝读取的权限。删除不必要的应用程序映射IIS中默认存在很多种应用程序映射,如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等,通过这些程序映射,IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是,在这些程序映射中,除了.asp的这个程序映射,其它的文件在网站上都很少用到。而且在这些程序映射中,.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题,入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序,仍然没法保证安全。所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击“配置”按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射,如图3。如果需要这一类文件时,必须安装最新的系统修补程序以解决程序映射存在的问题,并且选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项,如图4。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。  保护日志安全日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。方法一: 修改IIS日志的存放路径IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es),这对Web日志的安全很不利。所以我们最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的“属性”按钮,在“常规属性”页面,点击“浏览”按钮或者直接在输入框中输入日志存放路径即可,如图5。方法二: 修改日志访问权限日志是为管理员了解系统安全状况而设计的,其他用户没有必要访问,应将日志保存在NTFS分区上,设置为只有管理员才能访问。当然,如果条件许可,还可单独设置一个分区用于保存系统日志,分区格式是NTFS,这样除了便于管理外,也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中,入侵者使用软件让IIS产生大量的日志,可能会导致日志填满硬盘空间,整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃,为日志设置单独的分区则可以避免这种情况的出现。通过以上的一些安全设置,相信你的WEB服务器会安全许多。不过,需要提醒大家注意的是:不要认为进行了安全配置的主机就一定是安全的,我们只能说一台主机在某些情况下一定的时间内是安全的,随着网络结构变化、新漏洞的发现、用户操作,主机的安全状况是随时随地变化的,只有让安全意识贯穿整个过程才能做到真正的安全。原文:精心配置IIS打造安全Web服务器返回网络安全首页... 全文

服务器 安全 Web 配置 Web服务

Web应用防火墙怎样为客户提供防护 上篇

什么是Web应用防火墙?Web应用防火墙是专门为保护基于web的应用程序而设计的,它不像传统的防火墙,基于互联网地址和端口号来监控和阻止数据包。一个标准的端口号对应一种网络应用程序类型。例如,telnet接收发送到端口23的数据包,邮件服务器接收发送到端口25的数据包。传统的防火墙允许向邮件服务器相对应的互联网地址发送数据,让数据包通过25端口送达目的地。发送数据包给一个不是邮件服务器系统的互联网地址和25端口,就是一个攻击。防火墙会阻止这些数据包。... 全文

Web应用防火墙 Web

Sambar Web服务器例子程序拒绝服务攻击漏洞

信息提供:安全公告(或线索)提供热线:51cto.editor@gmail.com漏洞类别:拒绝服务攻击漏洞 攻击类型:远程攻击 发布日期:2002-01-16 更新日期:2002-01-22 受影响系统:... 全文

漏洞 服务器 Web Web服务

4 5 6 7 8 9 10 11 12 13