打造安全的Web服务器1.pptVIP

打造安全的Web服务器 应用学院：翟靖轩 目录 Web服务器安全现状 Window2003与IIS6.0安全相关配置 防范SQL注入式漏洞 一、web服务器安全现状 据报道，现在全世界平均每20秒就发生一次计算机网络入侵事件。现在，我们日常使用的U盘、CD 、VCD 、DVD 都可能携带病毒;E-mail、上网浏览、下载以及聊天都可能感染病毒。甚而有之，用户可能不做任何事情就会感染病毒。 由于综合等方面的原因，web服务器的安全问题一直隐患重重。据了解，由于现在攻击的多样性复杂性，使得大部分web服务器都存在漏洞。 我校部分站点是由学生设计完成，学生安全相关知识了解不全面，设计的站点容易被攻击 防范Web服务器被攻击非常必要 一、web服务器安全现状 1、Web攻击无处不在 攻击形式越来越多 攻击方式越来越傻瓜化，攻击人数增多 我校很多站点都有被攻击的经历 如上传ASP木马 植入IFrame病毒框架 甚至篡改主页，删除文件 一、web服务器安全现状 恐怖的WebShell 一、web服务器安全现状 应用学院网页服务器上的攻击记录 一、web服务器安全现状 校内很多站点目前仍有较明显的安全隐患 一、web服务器安全现状 2、我校Web服务器采用平台及技术分析 98%的服务器采用Windows平台（Win2000和Win2003）， 2 %采用Linux服务器 Web开发技术分析： ASP--50% ASP.NET---30% PHP—10% JSP—10% ASP危险的隐患 二、Windows2003及IIS6配置 1、Win2003-Web服务器安全基本配置 安装操作系统补丁 安装杀毒软件及恶意软件清除工具 安装防火墙，并封堵不需要的端口 无特殊需求，Web服务器只开放80端口 二、Windows2003及IIS6配置 采用远程桌面管理的服务器，建议更改默认端口3389 二、Windows2003及IIS6配置 2、一些重要的配置技巧 2.1使用Access数据库应防止数据库被下载 错误做法：把mdb改扩展名为asp 正确做法：把mdb文件放到虚拟目录外，程序中以绝对路径调用（如E:\db\sina.mdb) 正确做法2：添加合适的ISAPI映射 .NET在ISAPI映射方面非常优秀，可以用来借鉴 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll 二、Windows2003及IIS6配置 添加合适的ISAPI映射的方法：IIS管理器 二、Windows2003及IIS6配置 例：通过ISAPI禁止rar文件的下载 二、Windows2003及IIS6配置 2.2SqlServer数据服务器防范 只开放1433端口或更改默认端口 Sa用强口令（若sa密码泄露，后果很严重） 防火墙配置—只对需要的服务器开放端口 2.3 IIS里除特别需要外，不能开放目录浏览权限，不要用容易被猜测的名称做为路径 ！http://*./ 二、Windows2003及IIS6配置 *./admin 容易被猜出路径且浏览并攻击 二、Windows2003及IIS6配置 3、其它高级技巧 NTFS磁盘权限设置 停掉没有必要的服务 卸载不使用的隐患组件 FSO shell 　regsvr32 /u c:\windows\System32\wshom.ocx 　del C:\windows\System32\wshom.ocx 　regsvr32 /u C:\windows\system32\shell32.dll 　del C:\windows\system32\shell32.dll 三、防范SQL注入式漏洞 1、什么是SQL注入式漏洞？ SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。 SQL注入式漏洞是当前网站最大的威胁 SQL注入式漏洞也存在于Window程序中 三、防范SQL注入式漏洞 2、SQL注入式漏洞原理 例1：用户登录 SELECT Count(*) FROM User WHERE userName=‘”+textBox1.Text+ “’ password=‘”+textBox2.Text”+”’” 如果恶意用户键入：‘ or ’1‘=’1 ？？？ 则生成的SQL为：? 可以绕过用户登录 三、防范SQL注入式漏洞 例2：新闻显示页面 Detail.aspx?id=2 SQL: “SELECT * FROM News WHERE id=“+Reques