zoukankan      html  css  js  c++  java

  • WEB程序员也要学习学习安全防护(一)

    最近做了好几个有关电信运营的项目,程序部署了,由于客户方缺少安全防护人员,所以头疼的安全问题均到我们这个项目复杂人员身上了,客户只会说你的程序有漏洞,当然有时也不能否认。有点罗嗦了,最近看了几篇文章,发上来共享一下。
    如何才能防止ASP木马在服务器上运行?转贴【作者:佚名 来源:hackyun.com】
      如果您的服务器正在受ASP木马的困扰,那么希望这篇文章能帮您解决您所面临的问题。

      目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

      一、使用FileSystemObject组件

      FileSystemObject可以对文件进行常规操作

      可以通过修改注册表,将此组件改名,来防止此类木马的危害。

      HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

      改名为其它的名字,如:改为FileSystemObject_ChangeName

      自己以后调用的时候使用这个就可以正常调用此组件了

      也要将clsid值也改一下

      HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

      也可以将其删除,来防止此类木马的危害。

      注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 

      禁止Guest用户使用scrrun.dll来防止调用此组件。

      使用命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

      二、使用WScript.Shell组件

      WScript.Shell可以调用系统内核运行DOS基本命令

      可以通过修改注册表,将此组件改名,来防止此类木马的危害。

      HKEY_CLASSES_ROOT\WScript.Shell\
      及HKEY_CLASSES_ROOT\WScript.Shell.1\

      改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

      自己以后调用的时候使用这个就可以正常调用此组件了

      也要将clsid值也改一下

      HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
      HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

      也可以将其删除,来防止此类木马的危害。

      三、使用Shell.Application组件

      Shell.Application可以调用系统内核运行DOS基本命令

      可以通过修改注册表,将此组件改名,来防止此类木马的危害。

      HKEY_CLASSES_ROOT\Shell.Application\
      及HKEY_CLASSES_ROOT\Shell.Application.1\

      改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

      自己以后调用的时候使用这个就可以正常调用此组件了

      也要将clsid值也改一下

      HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
      HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

      也可以将其删除,来防止此类木马的危害。

      禁止Guest用户使用shell32.dll来防止调用此组件。

      使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests

      注:操作均需要重新启动WEB服务后才会生效。

      四、调用Cmd.exe

      禁用Guests组用户调用cmd.exe
      cacls C:\WINNT\system32\Cmd.exe /e /d guests

      通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。

    =======================================================================================

    个人觉得这个 cacls比较有用。
    一些敏感的程序不允许WEB调用就是,看他能怎么办,当然这些无法避免服务器本生的漏洞,当然漏洞无处不在,我们要做的只是尽量减少。。。又罗嗦了。。。
    如果怀疑被注入了程序怎么办?看看下面的文章

    系统自动启动程序之十大藏身之所

     Windows启动时通常会有一大堆程序自动启动。不要以为管好了“开始→程序→启动”菜单就万事大吉,实际上,在Windows XP/2K中,让Windows自动启动程序的办法很多,下文告诉你最重要的两个文件夹和八个注册键。

      一、当前用户专有的启动文件夹

      这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\“开始”菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。

      二、对所有用户有效的启动文件夹

      这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\“开始”菜单\程序\启动。

      三、Load注册键

      介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。

      四、Userinit注册键

      位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,如图一,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。

      五、Explorer\Run注册键

      和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。

      六、RunServicesOnce注册键

      RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。

      七、RunServices注册键

      RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。

      八、RunOnce\Setup注册键

      RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。

      九、RunOnce注册键

      安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。

      十、Run注册键

      Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前。

    =========================================================================================
    还有:如果发现可疑进程怎么办??
    教你一招:2000或 NT 内核使用NTSD杀死不能杀死的进程
    具体操作,先打开任务管理器,发现那个进程 在PID列得到他的PID 即进程号
    使用命令 ntsd -c q -p 进程号
    杀死率99%
    =======================================================
    如果客户还需要你装系统,我最讨厌的那种,请您自费给他上个正版杀毒软件,或者事先预知,在项目里加上这么一笔,然后说是免费赠送,因为很多“公鸡型”客户会舍不得花这个钱。
    ==========================================================================================
    暂时就这么多,等找到再发,欢迎大家讨论。

  • 相关阅读:
    C#操作Word完全功略
    Ubuntu安装BackExec Remote Agent for Linux
    curl快速实现网速测试
    GitHub已将持续集成服务器Janky开源
    串行(Sequential)、并发(Concurrent)、并行(parallel)与分布式(distributed)
    使用ld的wrap选项替换已有库函数
    Linux获取程序编译参数
    配置Apache+Tomcat实现SSO(单点登录)
    ipad+Blackberry构建临时网络访问
    巧解 JavaScript 中的嵌套替换
  • 原文地址:https://www.cnblogs.com/philips/p/144914.html
Copyright © 2011-2022 走看看