伺服器死亡日記(應用程式篇)
第二個層面的安全是應用程式的安全。
我們要明白我們安裝了哪些應用程式,
ftp、
imail
、iis
下的應用程式。
我們安裝的應用程式必須順時注意補丁的情況,同有補丁必須及時安裝。問題最大的就是我們自己開發的應用程式,我們要用懷疑一切的態度去看帶我們的**。
在網上最最知名的就是
sql注入攻擊法。就是在引數後面加一些
sql語句實現對**的攻擊。要防止
sql注入法攻擊,首先要求對所有的從客戶端轉入的引數進行過濾。不論是傳入的是數值還是字串。這是乙個
c#的實現:
public static string removeunsafechars(string cstring)
其他做好伺服器的設定工作,
a、不要用
sa帳號與
sql伺服器相聯、或者信任聯接,一旦有乙個地方的**沒有過濾完全,黑客就會進入你的系統。
b、刪除不需要的擴充套件存貯過程,如
xp_cmdshell
等。不僅僅在
sql裡面刪除,檔案一起刪除。否則黑客是可以恢復的。
c、對**的許可權要設定好,最好只有讀的許可權,沒有寫的許可權,所有的寫操作都用存貯過程去做。這樣**注入就不能刪除你的資料了。
d、資料庫系統的補丁必須及時打,如果
web與資料庫系統是乙個伺服器,
1433
埠不要開放,如果是外部服務,也只對特定的
ip開放(在網路策略裡設定)。
e、如果條件許可,資料庫伺服器最好放在內網裡面,伺服器一般有兩張網絡卡,資料伺服器只與
web用對等網相聯。不直接聯外部的網路環境。
特殊的檔案保護
我們的asp
應用常常包括資料庫的聯接等配置檔案,一定要設定成
asp檔案,不要讓黑客猜出這些檔案的檔名,否則,乙個
就獲取了你的資料庫資訊。
sql注入、檔案盜取,這都是最常用的黑客方法。另外我們需要特別關注的地方就是與檔案操作相關的程式,如檔案上傳、檔案讀的程式。
檔案上傳:不要相信客戶,客戶上傳的所有東西都可能是攻擊性的。首先是上傳檔案的型別:我們一般是根據
contenttype
來獲取獲得的檔案型別,但是
contenttype
是可以欺騙的,客戶端可以人為構造檔案頭,使上傳乙個
asp檔案,而
contenttype
是imgae
。其次是對上傳檔名的分析,如果特殊的檔案也可能使你的程式分析認為乙個
asp檔案是
gif或
jpg檔案。小心上傳的
html檔案,
如果是html檔案,
可能html
檔案有包含檔案,如果上傳的
html
檔案包含了你的
index.asp
,呵呵,你的
index.asp
可能就被別人一覽無遺了,你有這樣的**嗎?所以,小心客戶上傳的檔案。
檔案讀取:有些程式是採用客戶端發出引數,伺服器
asp程式讀特定的檔案並
write
到客戶端。一般讀前會測試是否是要讀
asp檔案,方法是測試副檔名是不是
asp,可是在檔名後加一些特定的字元後,所請求的副檔名不是
asp,但檔案
io也能正確讀出檔案如
:readfiie.asp?filename=readfile.asp /
。所以小心你對檔案的判定,一不小心就被別人利用了。
管好你的密碼:有些管理人員的密碼真是簡單的可愛,使用者名稱
admin
、密碼admin
。這樣的站點大家都沒有什麼話可以說,好可愛,好可愛。不要用**號碼、不要用與公司相關的任何東東。
Web 伺服器與 應用程式伺服器
一 web伺服器 1 常用的web伺服器又apache iis等 2 web伺服器的特點 web伺服器可以解析 handles http協議。當web伺服器接收到乙個http請求 request 會返回乙個http響應 response 例如送回乙個html頁面。web伺服器的 模型 delegat...
linux伺服器部署應用程式
1.守護程序 程式寫成守護程序,fork兩次。2.系統日誌 3.開機啟動 將命令寫入 etc rc.local 4.程式崩潰後自動啟動 使用crond服務,定時判斷是否存在某個程序,若不存在,則啟動。我在程式做了應用程式單例,所以每2分鐘啟動一下程式即可,若程式存在,則不會重複啟動該程式。cront...
WEB伺服器部署日記
近日朋友想開乙個論壇,他對這方面的東西不太懂 叫我幫忙弄乙個 跟他一商量,決定用他的新機器做伺服器 p4 2.4g ddr400 512m 的記憶體 其他配置忘了 使用在網上down的 dvbbs 7 sp2 sql版本 幾下把系統和sqlserver裝好,打好補丁,配好iis,裝上天網 就開始部署...