Los piratas informáticos le enseñan a configurar el servidor para que esté seguro

Dado que nuestra defensa es desde la perspectiva del intruso, primero debemos saber cómo invade el intruso. En la actualidad, los métodos de intrusión web más populares son obtener el shell web del sitio web buscando la brecha del programa, y ​​luego encontrar los métodos correspondientes que pueden usarse de acuerdo con la configuración del servidor para aumentar el derecho, y luego tomar el permiso del servidor. Entonces, con el servidor para configurar una manera de prevenir webshell es efectivo.
para evitar que la base de datos que se descarguen ilegalmente
Hay que decir, un poco administrador de seguridad de la red se puede cambiar desde la base de datos por defecto sitios ruta de descarga del programa en línea. Por supuesto, algunos administradores son muy descuidados, hacen que el programa se instale directamente en sus propios servidores, e incluso la documentación no se elimina, y mucho menos se cambia la ruta de la base de datos. De esta manera, el pirata informático puede descargar el programa fuente del sitio web directamente desde el sitio de origen, y luego encontrar la base de datos predeterminada en la prueba local, y luego descargar la información y los datos del usuario (generalmente MD5 encriptados) para encontrar el portal de administración para iniciar sesión y obtener el shell web. . Otra situación es que debido a que el error del programa ha roto la ruta de la base de datos del sitio web, ¿cómo podemos evitar que esto suceda? Podemos agregar un mapa de extensión para mdb. Como se muestra a continuación:

Abra IIS para agregar una asignación MDB, deje que mdb se resuelva en otros archivos que no se pueden descargar: "Propiedades de IIS" - "Directorio de inicio" - "Configuración" - "Mapeo" - "Aplicaciones Extensión "añadido en el interior. El archivo mdb se aplica para el análisis. En cuanto a los archivos utilizados para analizarlo, puede elegir sus propias opciones. Siempre que acceda al archivo de la base de datos, no podrá acceder a él.
ventaja de esto es: Si el formato de base de datos de sólo el 1 sufijo de archivo MDB sin duda no descarga; todos los archivos MDB en el servidor son dos pares de obra, útil para los administradores de la máquina virtual.
Cargar
para la prevención de la configuración anterior Si está utilizando la base de datos MSSQL, siempre que haya punto de inyección, todavía se puede adivinar la base de datos solución mediante el uso de la herramienta de inyección. Si el archivo cargado no tiene autenticación, podemos cargar directamente un troyano asp para obtener el webshell del servidor.
cantidad de carga, que se puede resumir de la siguiente manera: directorio de carga no da permiso para ejecutar, el directorio no se puede ejecutar a los derechos de carga. La aplicación web es ejecutada por el usuario de IIS. Solo necesitamos darle al usuario de IIS un directorio de carga específico con permiso de escritura, y luego eliminar el permiso de ejecución de script de este directorio, lo que puede evitar que el intruso obtenga el shell web a través de la carga. Método de configuración: Primero en el directorio web de IIS, abra la pestaña de permisos, solo para que los usuarios de IIS lean y enumeren los permisos de directorio, luego ingresen el archivo de carga para guardar y almacenar el directorio de la base de datos, agreguen permisos de escritura a los usuarios de IIS y finalmente La opción "Propiedades" - "Ejecutar permisos" de estos dos directorios cambia "puro script" a "ninguno". Véase más abajo
recordatorio final que defina estos permisos, asegúrese de tener en cuenta que un buen conjunto hereda el directorio padre. Evita hacer insultos en vano.

inyección MSSQL
para la base de datos de MSSQL defensa, decimos, primero de todo el comienzo de la cuenta de conexión de base de datos. No utilice la cuenta SA para la base de datos. Conectarse a una base de datos utilizando una cuenta SA es un desastre para el servidor. En general, puede usar la cuenta de privilegio DB_OWNER para conectarse a la base de datos. Si funciona, es más seguro usar usuarios públicos. Después de configurar el permiso dbo para conectarse a la base de datos, el intruso solo puede obtener el shell web adivinando el nombre de usuario y la contraseña o la copia de seguridad diferencial. Para el primero, podemos defender cifrando y modificando la dirección de inicio de sesión predeterminada del fondo de administración. Para las copias de seguridad diferenciales, sabemos que su condición es tener permisos de copia de seguridad y conocer el directorio web. La búsqueda de un directorio web que decimos se hace generalmente al atravesar el directorio para encontrar o leer directamente el registro. No hay forma de usar ninguno de los dos métodos de xp_regread y xp_dirtree. Solo necesitamos eliminar los dos almacenamientos extendidos. Por supuesto, los archivos dll correspondientes también se pueden eliminar juntos.
Pero si el programa se debe a sus propios errores tormenta fuera del directorio web, no hay manera. Por lo tanto, tenemos que hacer que la cuenta tenga permisos más bajos y no podamos completar la operación de copia de seguridad. La operación específica es la siguiente: en el atributo de la cuenta - opción de acceso a la base de datos, solo tiene que seleccionar la base de datos correspondiente y otorgarle el permiso DBO, no operar para otras bases de datos. Luego vaya a la base de datos - Propiedades - permisos para eliminar la copia de seguridad del usuario y los permisos de registro, para que el intruso no pueda obtener el shell web a través de la copia de seguridad diferencial.