??中間件加固:iis
- 啓動(網站都已dvbbs作爲示範) 程序–管理工具–iis服務管理器–網站—dvbbs—右鍵–屬性
- 修改默認日誌的路徑:網站—配置—d:\dvbbslog:權限:僅system可讀寫,administrator:讀
日誌分析工具:星圖full,splunk,biglog
認證:cisp-pte,ire
默認路徑:c:\windows\system32\logfiles - 日誌記錄:協議版本,cookie:取證,應急,增加空間:
網站–配置–高級:協議版本,cookie - 刪除不必要的映射,防上傳webshell
主目錄–配置–映射:當前用哪些腳本:保留:asp,cer,不用的擴展名刪除:.cdx
.asa - 向客戶端發送自定義錯誤信息:
處理url錯誤,請與管理員聯繫
<iframe src=http://www.baidu.com>
詳細:調試,報錯;信息泄露
備註:%23 數據名字前加特殊符號防下載,只需要第一字符進行url編碼就能下載 - 不要給目錄瀏覽權限:產生:目錄遍歷漏洞:
baidu:inurl:index of /ppt
index of /data
filetype:xls password
site:gooann 後臺
主目錄:目錄瀏覽:不要選擇 - 不要給寫入權限:防上傳webshell
- 刪除所有的自定義錯誤:防掛馬
C:\WINDOWS\help\iisHelp\common\
- 限制後臺登錄ip:中層安全策略
admin--右鍵--屬性--目錄安全性---限制:拒絕:允許
##? 數據庫加固
- 安全架構:禁止數據庫和web同臺,數據庫放到內網,web防火牆dmz
- 數據庫因
a. 鑑別:單因素:密碼足夠複雜和長,口令短語
雙因素:①你有的:卡,證書,②你是誰:生物特徵:指紋,虹膜,③你知道的:密碼
b.授權:最小特權,防授權蔓延:崗位變化時回收原來權限
c.機密性:aes 256
d.完整性:sha256
e.抗抵賴:數字簽名:私鑰不出usbkey
f:粒度越小越靈活,越安全:庫----對象:表,view,存儲過程—》行,列:update,insert select - 防數據庫下載:
a.數據庫名稱首字母用特殊符號
b.數據庫重定向到主頁:
dvbbs7.mdb–右鍵–屬性—重定向到主頁:
http://www.dvbbs.com - 修改默認數據庫名字
?權限加固:ntfs權限加固
c:\bbsbak:右鍵–屬性–安全
- 刪除所有默認權限:高級–允許父:取消
- 添加administrator:完全控制
- 添加iis_wpg:完全控制
- 添加iusr_benet:讀取
確定中哪些目錄需要寫入權限:data,databackup,uploadface,uploadfile
-----iusr_benet:寫入 - 防webshell:能寫入不能執行
iis服務管理器–網站–dvbbs:寫入的目錄:uploadfile:右鍵–屬性–目錄–執行權限:無