Dado que nuestra defensa se considera desde la perspectiva de los intrusos, primero debemos saber cómo invaden los intrusos. En la actualidad, los métodos de intrusión web más populares son obtener el shell web del sitio web encontrando el vacío legal del programa, y luego encontrar los métodos correspondientes que se pueden usar de acuerdo con la configuración del servidor para aumentar el derecho, y luego tomar el permiso del servidor. Entonces, con el servidor para configurar una manera de prevenir webshell es efectivo.
a, para evitar que la base de datos que se descarguen ilegalmente
Hay que decir, un poco administrador de seguridad de la red, será el programa descargado desde el sitio de internet Se cambia la ruta de acceso predeterminada de la base de datos. Por supuesto, algunos administradores son muy descuidados, hacen que el programa se instale directamente en sus propios servidores, e incluso la documentación no se elimina, y mucho menos se cambia la ruta de la base de datos. De esta manera, el pirata informático puede descargar el programa fuente del sitio web directamente desde el sitio de origen, y luego encontrar la base de datos predeterminada en la prueba local, y luego descargar la información y los datos del usuario (generalmente MD5 encriptados) para encontrar el portal de administración para iniciar sesión y obtener el shell web. . Otra situación es que debido a que el error del programa rompió la ruta de la base de datos del sitio web, ¿cómo evitar que esto suceda? Podemos agregar el mapa de extensión de mdb. Como se muestra a continuación:
Abra IIS para agregar una asignación MDB, deje que mdb se resuelva en otros archivos que no se pueden descargar: "Propiedades de IIS" - "Directorio de inicio" - "Configuración" - "Mapeo" - "Aplicaciones "Extensión" agrega el análisis de la aplicación del archivo .mdb. En cuanto a los archivos utilizados para analizarlo, puede elegir sus propias opciones. Mientras acceda al archivo de la base de datos, no podrá acceder a él.
ventaja de esto es: Si el formato de base de datos de sólo el 1 sufijo de archivo MDB sin duda no descarga; todos los archivos MDB en el servidor son dos pares de obra, útil para los administradores de la máquina virtual.
dos, para evitar que la carga
para la configuración anterior se utiliza si la base de datos MSSQL, siempre que la presencia del punto de inyección, puede todavía utilizar por inyección La herramienta realiza una conjetura de base de datos. Si el archivo cargado no tiene autenticación, podemos cargar directamente un troyano asp para obtener el webshell del servidor.
cantidad de carga, que se puede resumir de la siguiente manera: directorio de carga no da permiso para ejecutar, el directorio no se puede ejecutar a los derechos de carga. La aplicación web es ejecutada por el usuario de IIS. Solo necesitamos darle al usuario de IIS un directorio de carga específico con permiso de escritura, y luego eliminar el permiso de ejecución de script de este directorio, lo que puede evitar que el intruso obtenga el shell web a través de la carga. Método de configuración: Primero en el directorio web de IIS, abra la pestaña de permisos, solo para que los usuarios de IIS lean y enumeren los permisos de directorio, luego ingresen el archivo de carga para guardar y almacenar el directorio de la base de datos, agreguen permisos de escritura a los usuarios de IIS y finalmente La opción "Propiedades" - "Ejecutar permisos" para estos dos directorios cambia "Script puro" a "Ninguno". Véase más abajo
recordatorio final que defina estos permisos, asegúrese de tener en cuenta que un buen conjunto hereda el directorio padre. Evita hacer insultos en vano.
tres, MSSQL inyección
para la base de datos de MSSQL defensa, decimos, primero de todo el comienzo de la cuenta de conexión de base de datos. No utilice la cuenta SA para la base de datos. Conectarse a una base de datos utilizando una cuenta SA es un desastre para el servidor. En general, puede usar la cuenta de privilegio DB_OWNER para conectarse a la base de datos. Si funciona, es más seguro usar usuarios públicos. Después de configurar el permiso dbo para conectarse a la base de datos, el intruso solo puede obtener el shell web adivinando el nombre de usuario y la contraseña o la copia de seguridad diferencial. Para el primero, podemos defender cifrando y modificando la dirección de inicio de sesión predeterminada del fondo de administración. Para las copias de seguridad diferenciales, sabemos que su condición es tener permisos de copia de seguridad y conocer el directorio web. La búsqueda de un directorio web que decimos se hace generalmente al atravesar el directorio para encontrar o leer directamente el registro. No hay manera de usar estos dos métodos, xp_regread y xp_dirtree dos procedimientos almacenados extendidos, solo necesitamos eliminar estos dos almacenamientos extendidos, por supuesto, también puede eliminar los archivos dll correspondientes.
Pero si el programa se debe a sus propios errores tormenta fuera del directorio web, no hay manera. Por lo tanto, tenemos que hacer que la cuenta tenga permisos más bajos y no podamos completar la operación de copia de seguridad. La operación específica es la siguiente: en el atributo de la cuenta - opción de acceso a la base de datos, solo tiene que seleccionar la base de datos correspondiente y otorgarle el permiso DBO, no operar para otras bases de datos. Luego, vaya a la base de datos - Propiedades - permisos para eliminar la copia de seguridad del usuario y los permisos de registro, para que el intruso no pueda obtener el shell web a través de la copia de seguridad diferencial.