私たちの防御は侵入者の視点から考えられるので、まず侵入者が侵入する方法を知る必要があります。現在のところ、より一般的なWeb侵入方法は、プログラムの抜け穴を探すことによってWebサイトのWebシェルを取得してから、権利を上げるためにサーバーの構成に従って使用できる対応する方法を見つけて、サーバーの許可を取得することです。だからサーバーでWebシェルを防ぐための方法を設定すると効果的です。
違法
で
ダウンロードされてからデータベースを防ぐために、
aは、指摘しておかなければ、小さなネットワークのセキュリティ管理者は、インターネットサイトからダウンロードしたプログラムになりますデフォルトのデータベースパスが変更されました。もちろん、管理者の中には非常に不注意で、自分のサーバーにプログラムを直接インストールするようにしているものもあります。データベースのパスを変更するのはもちろんのこと、ドキュメントも削除されません。このようにして、ハッカーはソースサイトから直接Webサイトのソースプログラムをダウンロードしてからローカルテストでデフォルトのデータベースを見つけ、次にユーザー情報とデータ(通常はMD5暗号化)をダウンロードして管理シェルを見つけてログインします。 。もう一つの状況は、プログラムエラーがウェブサイトデータベースのパスを壊したため、これを防ぐ方法は?私たちはmdbの拡張マップを追加することができます。次に示すように:
MDBマッピングを追加するためにIISを開き、ダウンロードできない他のファイルにmdbを解決させます。 "IIS Properties" - "Home Directory" - "Configuration" - "Mapping" - "Applications"拡張子「.mdbをアプリケーションの解析に追加します。それを解析するために使用されるファイルに関しては、あなた自身の選択をすることができます。データベースファイルにアクセスする限り、あなたはそれにアクセスすることができません。このので
利点がある:1つだけのデータベースファイルの接尾辞のMDB形式は確かにダウンロードすることはない場合は、サーバー上のすべてのMDBファイルは、仮想ホスト管理者のための有用な作業の2対あります。 MSSQLデータベースは、注入点が存在する限り、依然として注射により使用できる場合
2つ以上の構成のため
で
アップロードを防止するために使用されこのツールはデータベースの推測を実行します。アップロードされたファイルが認証されていない場合は、aspトロイの木馬を直接アップロードしてサーバーのウェブシェルを取得することができます。以下のようで
契約のアップロードは、我々は要約することができます。アップロードディレクトリが実行する権限を与えるものではありません、ディレクトリが権利をアップロードするために実行することはできません。このWebアプリケーションはIISユーザーによって実行されるため、書き込み権限を持つ特定のアップロードディレクトリをIISユーザーに付与してから、このディレクトリのスクリプト実行権限を削除するだけで、侵入者がアップロードを通じてWebシェルを取得できなくなります。設定方法:最初にIIS Webディレクトリで、パーミッションタブを開き、ディレクトリパーミッションの読み取りと一覧表示を行うIISユーザーのみにしてから、アップロードファイルを入力してデータベースディレクトリを保存および保存し、最後にIISユーザー書き込み権限を追加します。これら二つのディレクトリの "Properties" - "Execute Permissions"オプションは "pure script"を "none"に変更します。
の下にあなたがこれらの権限を設定し、最終的なリマインダーを参照してください、良いセットは、親ディレクトリを継承することに注意してください。無駄に侮辱することは避けてください。
3、防衛MSSQLデータベース用
で
MSSQLの注入は、我々は、データベース接続アカウントから最初に起動したすべての、と言います。データベースにSAアカウントを使用しないでください。 SAアカウントを使用してデータベースに接続することは、サーバーにとっては厄介です。一般に、データベースへの接続にはDB_OWNER特権アカウントを使用できますが、正常に機能する場合は、パブリックユーザーを使用するのが最も安全です。データベースに接続するためのdboパーミッションを設定した後、侵入者はユーザ名とパスワードまたは差分バックアップを推測することによってのみウェブシェルを取得できますが、前者の場合は、管理バックグラウンドのデフォルトログインアドレスを暗号化して変更することで防御できます。差分バックアップの場合、その条件はバックアップ権限を持ち、Webディレクトリを知ることです。私たちが言うWebディレクトリを探すには、通常、ディレクトリをたどってレジストリを見つけるか直接読み取ることによって行われます。 xp_regreadとxp_dirtreeの2つの方法のどちらも使用することはできません。2つの拡張ストレージを削除するだけでよく、もちろん対応するdllファイルも一緒に削除することができます。
しかし、プログラムが自分のミスによるものである場合には、ウェブディレクトリの外に嵐が、方法はありません。そのため、アカウントのアクセス許可を低くして、バックアップ操作を完了できないようにする必要があります。特定の操作は次のとおりです。account - database accessオプションの属性では、対応するデータベースを選択してDBO権限を与えるだけでよく、他のデータベースに対しては操作しないでください。その後、データベースに移動し、[プロパティ] - [許可]をクリックしてユーザーのバックアップおよびバックアップログの許可を削除します。これにより、侵入者は差分バックアップを通じてWebシェルを取得できません。