艾銻知識 |比較簡單實用的WEB安全設置總結

2020-03-02 22:12 作者：admin 瀏覽量：

如果二月份因為疫情在家，你沒有體驗到春風似剪刀的感覺。
那三月份很快就要來了，你會迎著小雨一邊走一邊唱著歌嗎？
在二月里你是怎樣度過的？你的企業復工了嗎？
這一個月留在你生命中有哪些難忘的記憶呢？
從二月三號開始，艾銻無限小伙伴就進入了自己的工作狀態：
有的人因為封城一直在家遠程為客戶提供服務，
有的人回到北京被隔離14天在自己住的地方給客戶提供服務，
有的人春節只休了7天假期就早早回到了北京，
有的人從未離開過北京人，所以他們才能在二月工作26天。
每一種選擇都是選擇，每一種人生都是人生。
我們期望回首2020年的時候，可以自豪的對自己說，
生命中的每一天，都是最好的一天，
感恩所有人，感恩一切的發生，感恩逝去的那些日子.
三月是一個全新的開始，送上一篇可以幫你解決技術難題的文章，讓你更好的投入全新的工作狀態:
艾銻知識 |比較簡單實用的WEB安全設置總結
服務器方面 

1、首先是要NTFS格式，并減少user之類用戶的權限，FAT32格式的磁盤沒有權限設置，也就沒有安全可言； 

2、其次是補丁要全，否則服務器中了木馬，那什么都是白搭； 

3、接著是禁用危險的組建和服務項，這個比較難，如果是簡單的應用還好說，如果服務器里跑著比較糾結的程序，很可能就會因為禁止了某些組件或服務導致無法運行，我對這個是比較頭痛的，所以做安全還是有必要知道應用所涉及到的權限以及其他方面； 

4、端口屏蔽，比如普通的WEB服務器開個21和80以及3389就夠了； 

5、加密傳輸，這個防止嗅探的，不過WIN好像沒自帶； 

6、密碼安全、桌面鎖定軟件、命令函數更名等其他小的設置，就和安全意識有關了，作用不會太大，但是比沒有要好。 

IIS安全 
1、執行權限這個很重要，不同的站點用不同的匿名用戶訪問，但是這些用戶不能給權限，連組都不用加，而且這寫單獨訪客的權限只在對應的WEB目錄有效，其他盤都無效，Everyone之類的大權限統統刪掉…而且大部分目錄不給寫入權，用戶權限是WEB安全最重要的一塊； 

2、取消掉沒用的API擴展，搞黑的都知道asp傳不了就用asa或者cer格式的木馬，安全也一樣，沒用的API擴展統統去掉，比如asp的站點只留一個.asp的，其他擴展刪掉，你傳了后門也沒用； 

3、取消不必要的WEB擴展，擴展多了漏洞也就多，能少用還是少用吧。 

權限類 
1、站點單獨用戶權，防止跨站，IIS那說過了，其實這個可以再IIS設置，也可以再硬盤設置，本質都一樣，就是NTFS格式的權限設置，而且權限最多給到讀取寫入，不可能再多了； 

2、目錄與文件的權限設置，圖片目錄這樣的，給個讀取權就可以了，而且腳本都可以禁掉，沒哪個圖片是可執行的吧… 文件也一樣，HTML的目錄和文件，腳本權可以禁掉，普通頁面給個讀取權就可以了，寫入權這玩意很危險，能少給就少給，但是弄錯了網站會崩； 

3、特殊目錄的權限，像D盤E盤這樣的，刪了Everyone就連子目錄的也一并刪了，但是例如system這樣的目錄，沒有繼承權，你刪了C盤的某用戶，很多子目錄里還是有的，要一個一個刪，否則就會出現像入侵時候遇到的情況：C盤無法訪問，但是用戶文件夾和windows目錄可以訪問。 

代碼安全 

1、代碼防注入，這個是最多的安全問題，有了數據庫就有了注入，防御辦法很多，繞過防御的辦法也很多，很難一概而論，總之還是靠程序員的安全意識與代碼功底； 

2、上傳漏洞的防止，除了注入上傳也是個大戶，很多入侵依賴上傳，解決方案是：減少上傳數量，提高驗證強度，驗證的時候要固定后綴、類型，而不是排除，上傳的文件隨即命名，自動修改后綴，上傳目錄不給任何權限！ 

3、文件命名規則，一些測試文件和敏感文件，名稱和目錄一定不能讓人猜解，或者加入驗證，猜解到了文件也進不去； 

4、第三方代碼，這個要少用，尤其是小團隊寫的，DISCUZ這么牛X的代碼都一直爆漏洞，別說其他代碼了，原因是這些代碼都是公開的，可以從源代碼里找漏洞，很危險的； 

5、其他一些例如防社會工程學漏洞、防爆路徑，就比較難說清了，還是安全意識的問題。