一:前言
人說�����,一朝被蛇咬���,十年怕.....���。就是這樣�。2000年初��,當我終于擺脫winnt 4.0 server那可怕的補丁之旅�,邁向win2000 server時。我終于可以比較放心我的服務器了���。但隨著sp1的補丁出現�。我知道�����,與微軟的補丁因緣又開始輪回了����。但還好。win2000自動化的管理還是讓我放心好多�,而以前管理winnt后的失眠癥狀也逐漸消失了�����。偶爾還能見到我的“夢”老弟�。但這一切都伴隨者同bigeagle的一次知心交談中付之東流了。一次���。bigeagle發來QQ���。給我看了一段代碼。我一看就知道這不是bigeagle寫的代碼���,那么爛�,不過有點熟悉�����。再一看�。啊?!這不是我的數據庫連接字符串嗎!!GOD���。頓時覺得有一種不祥的預兆��。不過還好���,這個只是個access的,我還用了一些手段防止他被下載�。但這足以讓我長時間的失眠又來了。(再次說明,bigeagle不是蛇���,他是鷹)
二:安裝過程中的IIS 與 asp安全防護���。(這里只考慮是web服務器,而不是本地機子上的web開發平臺�����。)
接下來的幾天有是幾個難熬的日子�����。我開始重新部署win2000 web服務器的安全策略�。
找到asp代碼被泄漏的原因���,原來。我的補丁每次打得都比較及時的�����。但一次因為卸載FTP時�����,重裝了IIS��,而這之后�,我并沒有再打補丁而導致最新的漏洞web解析出錯。(就是那個較新的漏洞 Translate :f 用這個加上一些工具就可以看到asp的代碼了�。)首先,開始重裝IIS�����。
這次安裝的策略就是安全�,夠用。去掉一些多余的東西���。
一:FTP不要安裝了,功能不好���,還容易出錯���,并且漏洞很大。Ftp缺省傳輸密碼的過程可是明文傳送
���,很容易被人截獲���。(可以考慮用第三方工具����。)
二:一切實例�、文檔也不要安裝了����。這是在web服務器上,最好不要這些例子�,事實證明可以從這些例子站點突破IIS的防線的。
三:安裝時選擇站點目錄����,建議不要用缺省目錄c:/inetpub,最好安裝道不是系統盤的盤上�。如:
d:/IISWEB�����,可以考慮自建目錄�����。這樣即使IIS被突破,也能盡可能的保護好系統文件了���。
四:不要安裝html的遠程管理。html的遠程管理在winnt 4.0還能用的上���,但漏洞比較大���,而且比較危險,端口號雖然是隨機的���,但很容易被人掃描道�,從而留下隱患�。事實上,我們可以通過另一臺服務器上的IIS來管理他�。這樣比較安全。
五:多余的服務也不要安了���,如NNtp��,如果不做新聞組���。就不要安了。smtp�,如果有更好的郵件服務,也不要裝他了�����。
六:索引服務器�����。這個索引真的是很有用���,但我沒有用過他�����。否則�,你可以用他建立個整個站點的文件搜索的��,但現在好像大多數的asp網頁都是一個網頁��,動態從數據庫里查詢�����。所以根本用不上索引服務器了,(不是索引不好���,而是本身上面的那種asp文件結構就不適合)所以可以不要安裝。
三:有目的進行安全配置�����。
一:開發前的工作�。
首先���,啟動IIS后,看有沒有/iissamples,/IIShelp,/msadc/,這些目錄���,如果有���,他們大多是用來作為例子,幫助安裝的����,刪掉他們���,再把腳本庫也刪掉,直到web目錄只留下干靜的新建的虛擬目錄即可,如果有管理的web站點�����,也刪掉他����。沒有他,我們一樣可以工作的更好���。 還有看看有沒有PRinter的文件夾�,
他們大多數都是些通過web來訪問打印機的�����。MS就是怪�����。為了表示我的功力強大���,允許通過web來遠程打印�。相信沒有哪個網絡公司是通過web網來打印的把。也不可能讓網友來使用你的計算機吧�。那好���,去掉他����。
然后�。開始詳細配置各個web虛擬目錄的安全。大概的策略是這樣的���。
分類每個文件夾管理,如���,可以吧擴展名是相同的分配到同一目錄�����,如*.asp的�,和*.inc就盡量分開���。如果是*.asp的����,則開放虛擬目錄權限,但將實際目錄權限授予administrator,system(完全控制)
everyone (rc)即可����。這樣可以通過web允許讀取。但實際上你可以加大安全力度����,如果你認位他是比較保密的���。如果是*.inc的�����,則開放目錄權限�,但不允許通過直接訪問���。這里又一個技巧了�。比如�。你可以允許實際目錄被everyone訪問���,但在IIS中,你把改目錄瀏覽項去掉�����,則改包含文件只能被源文件讀取�,但不允許被直接讀許。這樣���,他就不可能下在倒一些你的單機數據庫了�。而且你的*.inc文件也不會被瀏覽器直接閱讀�。
剛才我的老弟“夢”還在問我,有沒有辦法可以讓別人看不到你的連接字符串���,你可以試試下面的方法
!
1 首先建立連接字符串,并建立一個單獨的文件*.inc(要是*.inc的���,不要*.asp的)你把你的連接字
符串用變量復制進來。
如:connstr=""Provider=SQLOLEDB.1;PassWord=passw;...................."
2 然后建立一個文件夾include�,放在根目錄里。
3 然后每一個文件用下面的辦法打開連接�����。
如:
set conn=server.createobject("adodb.connection")
conn.open connstr
4 最后在iis里把include 文件夾用拒絕讀的方法保護起來。你會發現����,你的連接可以照常打開,但是如果對方看到你的源代碼���,他也看不到連接字符串��,即使他看到了包含文件路徑及名稱����。他也無法下載�,或是用ie 打開。所以�,可以保護你的連接字符串了。
這里用的方法是Nt 權限與 IIS權限的共同審核�����。我們知道�����,為了讓用戶從web上訪問道服務器的文件,每個安裝了IIS后的服務器都會有兩個內置賬號���。I_USExxxxxx,I_WAMxxxxxx(x為你的機器名)�,這樣你就可以有的放矢的防治某些從你的web網絡查看你的必要信息的用戶了。
當然�,還有一些比較好的文件策略你可以參考一下:
如:CGI (.exe, .dll, .cmd, .pl)Everyone (X)不允許讀去,運行���。Administrators(完全控制)
System(完全控制)
所以,你在編寫asp應用程序時�,盡量歸類好你的目錄。方便用IIS和NT進行管理�。
如。采用下列結構比較好
d:/web/asptest/static (放置*.htm)
d:/web/asptest/script (放置*.asp)
d:/web/asptest/include(放置*.inc)
d:/web/asptest/images (放置*.gif,*.jpg)
這樣你就可以用上面的方法來達到安全目的了��。
二:啟用日志監測���。
這是亡羊補牢的好工具,至少你可以用它來監測誰通過webl干了什么���,當然�,你還要保護該日志的權限只能是被系統管理員�。和超級管理所控制。這樣避免某些人的干了某些事而不留痕跡�。為了留好現場而又不影響IIS的響應速度。還是建議選則w3c擴展日志格式比較好�。(以前別人介紹我用ODBC,看來比較方便��,
但實際上不是這樣�。他受到數據庫的影響很大���。而且速度較慢了)�����。
可以考慮紀錄下一下現場數據:
客戶 IP 地址
用戶名
方法
URI 資源
HTTP 狀態
Win32 狀態
用戶代理
服務器 IP 地址
服務器端口
如果在一臺計算機上有多個 Web 服務器���,則后兩種屬性非常有用。Win32 狀態屬性對于調試非常有用�����。
檢查日志時���,密切注意錯誤 5�,這意味著訪問被拒絕。在命令行上輸入 net helpmsg err���,可找出其它 Win32 錯誤的含義����,其中 err 是要查找的錯誤號�。
三:配置合適的腳本映射。
相信我�����,大部分的asp源代碼泄漏都是通過不安全�����,或是有錯誤的腳本映射導致的�。而他們中的大多數可能你用不到。如下面我說的�����。
1 *.htr這是一個比較厲害的文件,他是web應用程序的一種�。同hta一樣���。這是些比較厲害的功能,但介紹很少�����。hta就是一種html 格式的 application�,功能比較強大���。切安全性比htm要低�。所以可能會導致功能強大的操作���。比如htr就可以通過web來重社密碼����。相信我們大多數的asp程序員和NT網管不需要這個把�����。那好,把他的對應選項刪掉好了�����。否則���,任何人都可以通過你的web來進行非法操作�,甚至格式化
掉你的硬盤�����。
2 *.hta 這個我已經說過了�,他是把雙刃劍,用的好���,你可以通過他來訪問nt的很多操作���,在asp上開nt用戶也是可能的。但大多數的工作可以不通過web來事最好的�。而*.hta在web很少用到,雖然他在iis4.0就推出了��。比如�����,你把一個文件保存成*.hta���,你就可以用ie打開�����。看看�,很奇怪的界面吧。聽ms的工程師說.net中吧*.hta換了個說法�,功能加大了??磥砭W管的工作又該加大了�����。如果你想安全一些�����。
刪掉吧�。
3 *.idc 這個東東是個比較老的數據庫連接方法了,現在大多數都直接用asp文件。不用idc了���,所以刪掉他�����。
4 *.printer這個是打印機文件���。去掉他好了
5 *.htw , *.ida *.idq這些都是索引文件,也可以去掉了��。
四:好的安全習慣���。
賬號策略,密碼策略
這些其實都在我的前兩片貼子貼過了��。��,等等��,感興趣的可以看看相關文章����。
另外�。還要注意要多上ms的站點��,看看安全公告�。(MS的訪問量就是這樣長期排行世界前三的!)還要準備好一些第三方的工具。如掃描工具���,模擬攻擊工具�。多上安全站點看看�。如果你可以交道一些比較好的黑道朋友(我另一個師兄家家的方法),也是比較好的�����。(黑道是黑客走的路!)
五:防止asp代碼被泄漏�。
這里只能說是防止�����,我只有從已經發現的看asp方法的漏洞入手��,現在對于iis4.0則幾乎有20種以上的辦法����,但安裝了sp6a后有兩種,可以到微軟的網站安全公告下載2000-8月后的補丁可以解決���。但如果你用了本文上面的方法���。可以裝到sp6就可以了���。
如果是win2000 server�,則有兩種方法�。安了sp1后,還有一種�����,所以你必須倒微軟安全公告欄去下載相應的hotfix���?����?梢越鉀Q�。
六:防止惡意的破壞��。
這個功能能對付一些被你監測到的不良分子�,你可以在日志中、或第三方工具看到到底是誰在不停的探測�、破壞你的IIS,那么把他列為不收歡迎的黑名單���,這樣�����,你再配置站點時可以對其IP,或域進行拒絕訪問���,不過這一過程是要付出代價的,你的IIS要擔任反向查找的功能�??赡軙容^耗時���。
六: 安全的話題�����。
以上還只是IIS與asp的�。如果你要用道數據庫。用道遠程管理����,用道遠程連接數據庫。那還要分別注意�����。正如我說的����。沒有絕對的安全。而這也才是安全的需要�����。關于安全的話題�,沒有結束,只有待續�。。
