私たちの防御は侵入者の視点からのものであるため、最初に侵入者が侵入する方法を知っておく必要があります。現在のところ、より一般的なWeb侵入方法は、プログラムの抜け穴を探すことによってWebサイトのWebシェルを取得してから、権利を上げるためにサーバーの構成に従って使用できる対応する方法を見つけて、サーバーの許可を取得することです。だからサーバーでWebシェルを防ぐための方法を設定すると効果的です。

違法


ダウンロードされてからデータベースを防ぐために、は、ほとんどのネットワークセキュリティ管理者は、デフォルトのデータベースパスのダウンロードサイトオンラインプログラムから変更され、指摘しておかなければ。もちろん、管理者の中には非常に不注意で、自分のサーバーにプログラムを直接インストールするようにしているものもあります。データベースのパスを変更するのはもちろんのこと、ドキュメントも削除しません。このようにして、ハッカーはソースサイトから直接Webサイトのソースプログラムをダウンロードしてからローカルテストでデフォルトのデータベースを見つけ、次にユーザー情報とデータ（通常はMD5暗号化）をダウンロードして管理シェルを見つけてログインします。 。別の状況は、プログラムエラーがWebサイトデータベースのパスを壊しているので、どうしたらこれを防ぐことができますか？ mdb用の拡張マップを追加することができます。次に示すように：

MDBマッピングを追加するためにIISを開き、ダウンロードできない他のファイルにmdbを解決させます。 "IIS Properties" - "Home Directory" - "Configuration" - "Mapping" - "Applications"内線番号を追加しました。 mdbファイルは構文解析に使用されますが、構文解析に使用されるファイルに関しては、ユーザーが独自に選択できますが、データベースファイルにアクセスする限りアクセスすることはできません。このので
利点がある：1つだけのデータベースファイルの接尾辞のMDB形式は確かにダウンロードすることはない場合は、サーバー上のすべてのMDBファイルは、仮想ホスト管理者のための有用な作業の2対あります。

アップロード


あなたはMSSQLデータベースを使用している場合がある限り、注入点を上記の構成を防止するために、まだ注入ツールを使用して、ソリューションデータベースを推測することができます。アップロードされたファイルが認証されていない場合は、aspトロイの木馬を直接アップロードしてサーバーのウェブシェルを取得することができます。以下のようで
契約のアップロードは、我々は要約することができます。アップロードディレクトリが実行する権限を与えるものではありません、ディレクトリが権利をアップロードするために実行することはできません。このWebアプリケーションはIISユーザーによって実行されるため、書き込み権限を持つ特定のアップロードディレクトリをIISユーザーに付与してから、このディレクトリのスクリプト実行権限を削除するだけで、侵入者がアップロードを通じてWebシェルを取得できなくなります。設定方法：最初にIIS Webディレクトリで、パーミッションタブを開き、ディレクトリパーミッションの読み取りと一覧表示を行うIISユーザーのみにしてから、アップロードファイルを入力してデータベースディレクトリを保存および保存し、最後にIISユーザー書き込み権限を追加します。これら二つのディレクトリの "Properties" - "Execute Permissions"オプションは "pure script"を "none"に変更します。

の下にあなたがこれらの権限を設定し、最終的なリマインダーを参照してください、良いセットは、親ディレクトリを継承することに注意してください。無駄に侮辱することは避けてください。防衛MSSQLデータベース用で

MSSQL注射、我々は、データベース接続アカウントから最初に起動したすべての、と言います。データベースにSAアカウントを使用しないでください。 SAアカウントを使用してデータベースに接続することは、サーバーにとっては厄介です。一般に、データベースへの接続にはDB_OWNER特権アカウントを使用できますが、正常に機能する場合は、パブリックユーザーを使用するのが最も安全です。データベースに接続するためのdboパーミッションを設定した後、侵入者はユーザ名とパスワードまたは差分バックアップを推測することによってのみウェブシェルを取得できますが、前者の場合は、管理バックグラウンドのデフォルトログインアドレスを暗号化して変更することで防御できます。差分バックアップの場合、その条件はバックアップ権限を持ち、Webディレクトリを知ることです。私たちが言うWebディレクトリを探すには、通常、ディレクトリをたどってレジストリを見つけるか直接読み取ることによって行われます。 xp_regreadとxp_dirtreeの2つの方法のどちらも使用することはできません。2つの拡張ストレージを削除するだけでよく、もちろん対応するdllファイルも一緒に削除することができます。

しかし、プログラムが自分のミスによるものである場合には、ウェブディレクトリの外に嵐が、方法はありません。そのため、アカウントのアクセス許可を低くして、バックアップ操作を完了できないようにする必要があります。特定の操作は次のとおりです。account - database accessオプションの属性では、対応するデータベースを選択してDBO権限を付与するだけでよく、他のデータベースに対しては操作しないでください。その後、データベースに移動し、[プロパティ] - [許可]をクリックしてユーザーのバックアップおよびバックアップログの許可を削除します。これにより、侵入者は差分バックアップを通じてWebシェルを取得できません。