|
|
教你怎样有用防止ASP网站被侵犯
对待ASP网站的侵犯,黑客一般会运用ASP木马如海洋顶端ASP木马进行侵犯。其实我们只需采用必定的方法就可以有用防止ASP网站被侵犯工作的发生。本文关键谈论ASP网站怎样防护ASP木马。文中案例所运用的ASP网站平台是在国内有着广泛用户群的动易网站处理系统免费版以及动网论坛免费版,具有必定的代表性。 适宜读者:网管、安全爱好者
预备知识:ASP编程
小知识:什么是ASP木马
它是用ASP编写的网站次序。它和其它ASP次序没有本质区别,只需是能工作ASP的空间就能工作它,这种性质使得ASP木马非常不易被发觉。就算是优良的杀毒软件,也未必可以检测出它到底是ASP木马仍是正常的ASP网站次序。这也是为什么ASP木马猖獗的缘由。
ASP木马侵犯原理
要防止木马的侵犯,就要先知道侵犯的原理。想颠末ASP木马侵犯,有必要先将木马上传到政策空间,然后直接在客户端浏览器里面工作木马,接着就可以进行文件批改、目录删去等等具有破坏性的作业。
黑客侵犯ASP网站一般运用两种方法:
第一种是上传木马后,运用木马以及操作系统缝隙在Windows启动项里添加一个批处理文件,用来添加处理员账号,然后用处理员账号间断防火墙工作和进行文件批改删去等操作。
第二种是上传木马后,直接颠末木马删去网站里面的目录和文件。
找准要害对症下药
颠末分析可以发现,我们说到的两种侵犯方法都是运用ASP网站的上传功用,先上传木马,然后凭仗木马对文件进行批改删去等操作。简略说来,要做的第一步就是阻止ASP文件的上传;其次,假若被上传了ASP木马,就要根绝木马的工作。
ASP木马本身就是个ASP文件。所以很要害的一点是束缚ASP文件的上传。一般ASP网站本身就有文件上传功用,并且默许是束缚了ASP文件的上传,不过黑客可以想方设法上传他们的木马文件。
国内较多见的就是运用桂林老兵网站上传运用东西,可以先将木马文件的扩展名改为JPG或许GIF,进行上传,然后再改回ASP文件。对准这种方法我们该怎样办呢?
安全与方便并行
要防患于未然,一些前期作业有必要先做好。首要就是养成及时备份的习气;其次,假若你的网站选用ACCESS数据库,那么要保证你网站的主数据库不能以MDB为扩展名,将扩展名改成ASP,这样可以防止黑客直接下载到网站数据库并猜解网站处理员暗码;第三,网站处理员暗码位数举荐逾越12位。
这样即使不小心被下载到数据库,由于一般老到的ASP网站数据库暗码有些城市选用MD5码加密,暴力破解也需要恰当长的时辰。这些底子的需要假若都做到了,那我们就来看看具体是怎样防护ASP木马的。
束缚ASP实行权限
虽然无法颠末杀毒软件查杀ASP木马,但可以采用其他方法进行有用防范。就出名的动易网站处理系统或许动网论坛来说,默许是容许注册用户上传文件的。黑客可以运用东西将ASP木马伪装后上传至服务器。
要害就在于他们上传文件所存放的目录是固定的,具体说就是颠末网站上传的文件只会呈如今我们ASP网站次序所指定的目录下。
假若要完全束缚网站注册用户上传文件的权限是不现实的。所以,我们能做的第一步,就是阻止ASP文件在此目录的实行权限。目的就是让上传来的ASP木马无法实行。具体方法如下:
翻开IIS,右键点击网站里面供上传的目录,点击特色,我们可以看到特色窗口;将此目录的"实行权限"设置成"无";用一样的方法,再将存放数据库的文件夹以及其他几个可供用户上传文件的文件夹的"实行权限"全都设置成"无"。
服务器上的安全设置
即使束缚了上传目录的ASP的实行权限,但也无法保证服务器的必定安全。所以,服务器上面也要进行一些设置。
服务器操作系统以Windows 2003为例,首要当然是要将磁盘转为NTFS格式。其次,可以将默许的Administrator改名,并设置满意位数的暗码(举荐12位以上)。为了欺诈黑客,还可以另外建一个名为Administrator的账号,并设置暗码,赋予最低权限。
在Windows 2003操作系统里面设置相应文件夹的权限。由于网站做好后一般一段时辰都不会随意对源代码进行批改,所以可以对不需要进行批改的当地设置只读权限,仅打开几个上传的文件夹的可写权限。对系统默许的Everyone的权限进行束缚,拒绝Everyone的删去以及批改权限。仅在我们需要对网站进行批改的时分,才暂时将此束缚去掉。具体操作过程如下:
对存放网站的文件夹点击右键,点击"同享和安全";在安全选项卡上,可以看到特色窗口;为束缚Everyone的权限,点击下面的高级按钮;在弹出的"高级安全设置"对话框中的"权限"选项卡上,点击"添加";在"选择用户或组"底下的框中输入称谓"Everyone",再点击"判定";
在出现的对话框中勾选"创建文件/写入数据"、"创建文件夹/附加数据"、"删去子文件夹及文件"、"删去"、"更改权限"的拒绝权限,并设置将它应用到"该文件夹及文件"。
一样的方法,再对网站里面的各个子文件夹进行设置,拒绝一些网管对不需要批改的文件夹的更改、写入数据等权限。要注意的是,供网站用户上传文件的文件夹,要保管其写入的权限。
由于Windows的用户组权限是拒绝优先,所以设置好后要检验,供上传的文件夹不能束缚其写入权限。
我们做好了这些权限的设置之后,可以自己试着对网站的文件或许文件夹进行改名、删去等操作,看看能否会提示拒绝访问或许没有这个权限。假若检验颠末,那么批改是成功的。
以上是笔者在实践中总结出的阅历,虽然不能百分百保证网站的安全,不过应该说颠末这些设置,网站的全体安全性有了很大的前进。在批改了这些权限设置之后,就算黑客上传了几个木马文件,但上传了也无法工作,不会构成什么成果。
|
|
发表于 2012-10-27 09:31:22
已绑定手机