WEB站点服务器安全配置
本文转自:i春秋社区
// 概述
// 熟悉网站程序
// 更改默认设置的必要性
// 目录分析与权限设置技巧
// 防止攻击其他要素
// 公司官网不可忽视的安全性
// 尽可能的防止不必要的信息泄漏
一:概述
圈内基本上都已经熟悉了黑产吧,现在攻击的门槛越来越低,黑产也越来越被人熟知。在巨大的经济利益的驱使下,每天
基本上有成百上千的网站被攻击,在网站安全无法完全保障的情况下,在此编写此文仅为站长作为参考。
作为一名信息安全爱好者来说,本人无法保证此文的可用性,正确性。
所以有错误的地方还望见谅并指出
另外我发现论坛里所有资源里基本上全是攻击,渗透相关的。防御资源少的可怜。我希望大家不要一味的去想着渗透,突破。
也得多考虑考虑如何去抵抗这个攻击,如何有效的,在资源消耗最低的情况下去防御。不是有一句话 ;"在攻于防的对立中,寻找突破"
么。
二:熟悉网站程序,以及目录权限设置
在网站正式上线运行前,少不了的调试。我所说的调试不紧紧只是调试网站的功能,熟悉网站程序也是一个必不可少的步骤。
如果有代码功底的站长们可以看看网站程序的代码,了解网站每个文件所实现的功能,这样在网站出现问题的时候也能快速的找
出问题所在!(本文主要站在无代码功底的站长角度上说网站安全)
在对于网站程序选择调试完成后最重要的一步来了,我们需要了解整个目录结构,需要知道这个目录是做什么用的。比如(图:1.1):
网站目录结构基本算是这样的吧,相关权限设置我也给出了按照这个图来设置权限可以抵抗大部分攻击了。
对于网站权限设置后,我们还需要最重要的一步那就是修改程序的默认信息,比如默认后台,帐号密码,默认数据库地址。
三:防止攻击其他要素
1):sql注入攻击
对于sql注入攻击现在网络上已经出了各种sql通用防注入程序来抵抗了。我这里只简单说下用法。
asp程序:防注入程序下载地址:http://code.google.com/p/defencesqlinject/ 内附详细使用说明,这里就不多说了。
php程序:代码地址:http://www.jb51.net/article/30079.htm 在公用文件比如config.php内require_once 'nosql.php';
2):文件上传攻击
在做完第二步所提到的目录权限后基本上文件上传攻击已经可以避免%70以上了。
网站后台设置文件后缀白名单。"jpeg,jpg,bmp,gif,png,rar,zip" 等非脚本后缀。
这里需要注意的就是网站程序所用到的编辑器。ewebeditor 该编辑器请先登录后台确认每个样式文件后缀的正确性后
删除或者改名admin_login.asp文件 然后设置db/ewebeditor.mdb 只读权限。
Fckeditor 编辑器这里请确认版本是否为最新版本否者升级,然后将上传目录设置拒绝执行权限。
3): 弱口令攻击
修改网站管理目录名称,修改ftp 以及后台登录密码(建议使用字母+数字+特殊字符的组合)如果条件允许就最好限制访问IP.
尽可能的不要暴露过多与该网站相关的信息。加强个人所使用帐号密码。(最好别使用同一个密码)。
// 熟悉网站程序
// 更改默认设置的必要性
// 目录分析与权限设置技巧
// 防止攻击其他要素
// 公司官网不可忽视的安全性
// 尽可能的防止不必要的信息泄漏
一:概述
圈内基本上都已经熟悉了黑产吧,现在攻击的门槛越来越低,黑产也越来越被人熟知。在巨大的经济利益的驱使下,每天
基本上有成百上千的网站被攻击,在网站安全无法完全保障的情况下,在此编写此文仅为站长作为参考。
作为一名信息安全爱好者来说,本人无法保证此文的可用性,正确性。
所以有错误的地方还望见谅并指出
另外我发现论坛里所有资源里基本上全是攻击,渗透相关的。防御资源少的可怜。我希望大家不要一味的去想着渗透,突破。
也得多考虑考虑如何去抵抗这个攻击,如何有效的,在资源消耗最低的情况下去防御。不是有一句话 ;"在攻于防的对立中,寻找突破"
么。
二:熟悉网站程序,以及目录权限设置
在网站正式上线运行前,少不了的调试。我所说的调试不紧紧只是调试网站的功能,熟悉网站程序也是一个必不可少的步骤。
如果有代码功底的站长们可以看看网站程序的代码,了解网站每个文件所实现的功能,这样在网站出现问题的时候也能快速的找
出问题所在!(本文主要站在无代码功底的站长角度上说网站安全)
在对于网站程序选择调试完成后最重要的一步来了,我们需要了解整个目录结构,需要知道这个目录是做什么用的。比如(图:1.1):
(图1.1)
网站目录结构基本算是这样的吧,相关权限设置我也给出了按照这个图来设置权限可以抵抗大部分攻击了。
对于网站权限设置后,我们还需要最重要的一步那就是修改程序的默认信息,比如默认后台,帐号密码,默认数据库地址。
三:防止攻击其他要素
1):sql注入攻击
对于sql注入攻击现在网络上已经出了各种sql通用防注入程序来抵抗了。我这里只简单说下用法。
asp程序:防注入程序下载地址:http://code.google.com/p/defencesqlinject/ 内附详细使用说明,这里就不多说了。
php程序:代码地址:http://www.jb51.net/article/30079.htm 在公用文件比如config.php内require_once 'nosql.php';
2):文件上传攻击
在做完第二步所提到的目录权限后基本上文件上传攻击已经可以避免%70以上了。
网站后台设置文件后缀白名单。"jpeg,jpg,bmp,gif,png,rar,zip" 等非脚本后缀。
这里需要注意的就是网站程序所用到的编辑器。ewebeditor 该编辑器请先登录后台确认每个样式文件后缀的正确性后
删除或者改名admin_login.asp文件 然后设置db/ewebeditor.mdb 只读权限。
Fckeditor 编辑器这里请确认版本是否为最新版本否者升级,然后将上传目录设置拒绝执行权限。
3): 弱口令攻击
修改网站管理目录名称,修改ftp 以及后台登录密码(建议使用字母+数字+特殊字符的组合)如果条件允许就最好限制访问IP.
尽可能的不要暴露过多与该网站相关的信息。加强个人所使用帐号密码。(最好别使用同一个密码)。
声明:(BBs.ichunqiu.com)所发布的新闻均来源于互联网,目的在于传递信息,但不代表本站赞同其观点及立场,版权归属原作者,如有侵权请联系删除。本文由中国Cold整理发布,转载请注明来自i春秋社区(BBS.ichunqiu.com)