web安全加固
IIS加固
管理工具-->IIS管理器-->网站-->dvbbs-->右键-->属性(以下配置大多数都在这里修改)
修改默认日志路径
默认日志路径:c:\windows\system32\logfile
修改到其他路径:d:\dvbbslog,可以设置为system读写,administrator只读权限
修改日志属性
网站-->属性-->高级(日志记录属性):勾选协议版本、勾选cookies(小技巧,查找日志的关键在于选择关键字,如在日志里面搜索404关键字,因为如果攻击者对网站进行猜后台的时候肯定会尝试提交不同的目录,没有攻击者提交的文件目录就会返回404错误,因此可以借助日志信息判断遭受何种攻击)
删除所有不必要的映射(扩展名)
主目录--配置--映射(如使用aspx、asp的就仅仅留下这两个,其余的全部删除,如cer,cdx等[这是为了防止上传网马])
不要向客户端发送详细信息
想客户端不要发送详细信息,应该发送自定义的信息,如可以发送“110网站监控...”
主目录-->配置-->选项(调试)
IIS权限
不给写入和目录浏览(写入会上传网马,目录浏览会导致目录遍历甚至下载)
限制后台登录的IP地址
登录后台地址:admin--右键--属性--目录安全性--允许特定的IP地址或IP地址段
删除所有的自定义错误
c:\windwos\help\iishelp
数据库加固
- 禁止webserver和数据库服务器同台,防止应用漏洞扩散到数据库
- 修改默认库表的位置和默认名字:admin修改为abcuser等
- 认证时保证口令足够复杂;权限需要控制(最好能做到行、列的控制);对存储的数据进行加密,做好日志审计
- 防数据库下载:可以将数据库重定向到URL:网站--dvbbs--data--dvbbs7.mdb--右键--属性--重定向到www.dvbbs.com(注意勾选“上面正确的URL”)
NTFS加固
- 在网站目录的文件夹上面点击右键进行操作,c:\bbs--右键--安全性
- 终极防webshell:能写的不能执行,能执行的不能写入
- 删除所有的默认权限(配置权限时由小极大),安全--高级--父集成权限全部取消
- 添加管理员administrator(注意不是administrators),完全控制
- 添加IIS_WPG:完全控制
- 添加iusr_xxx(xxx表示计算机名),设置只读权限
- 确定哪些目录需要写入权限:data(数据库需要写入)、databackup(备份权限)、uploadfile(文件上传目录)、uploadface等,给iusr_xxx写入权限
- 给以上具有写入权限的目录拒绝执行的权限:IIS管理器--网站--dvbbs--目录(分别找到以上目录):右键--属性(脚本执行权限选择无):权限:无
