网站运营
位置:首页>> 网站运营>> 服务器安全经验:防止非法登陆

服务器安全经验:防止非法登陆

作者:佚名  发布时间:2009-01-07 13:53:00 

标签:服务器,安全,验证,登陆


1、对数据库进行安全配置,例如你的程序连接数据库所使用的帐户/口令/权限,如果是浏览新闻的,用只读权限即可;可以对不同的模块使用不同的帐户/权限;另外,数据库的哪些存储过程可以调用,也要进行严格地配置,用不到的全部禁用(特别是cmd这种),防止注入后利用数据库的存储过程进行系统调用;

2、在获取客户端提交的参数时,进行严格的过滤,包括参数长短、参数类型等等;

3、对管理员后台进行严格的保护,有条件的话,应该设置为只允许特定的IP访问(例如只允许管理员网段访问)——这个要根据实际情况来看的;

4、对操作系统进行安全配置,防止注入后调用系统的功能,例如把

cmd.exe/tftp.exe/ftp.exe/net.exe

这些文件全部转移到其他目录,并对目录进行严格的权限指派;

5、设置网络访问控制;

6、有条件的话,配置针对HTTP的内容过滤,过滤病毒、恶意脚本等;

7、如果有必要,可以考虑选择HTTPS,这样可以防止很多的注入工具扫描,我以前自己开发注入检测工具的时候,考虑过做支持HTTPS方式的,但目前还没付诸实施。

相信你也看出来了,总的来说程序方面主要考虑权限、参数过滤等问题;权限主要包括IIS浏览权限、数据库调用权限。除此以外,还要考虑数据库、操作系统的安全配置。另外,不知道你们在开发过程中会不会用到其他人开发的组件,例如图片上传之类的,这类组件你们研究过其安全性么?或者开发的过程中,绝大多数人会使用网上、书上提供的现成代码,例如用户登录验证等等,这些公开代码,也要研究其安全性问题。

0
投稿

猜你喜欢

  • 网上看奥运,推荐几个网站,发现好的,我再补充。1、央视网-奥运专题 2008.cctv.com我一直挺喜欢央视网的网页设计,相比其它门户网站
  • 不久前有一些以前的学员问我很多关于百度竞价方面的问题,因为网络上一直也没看到什么系统的教程,所以一直想把这方面的东西整理起来跟大家分享一下,
  • 北京时间10月15日早间消息,据国外媒体今日报道,消息人士透露,EA斥资2.5亿美元收购了Facebook游戏开发商Playfish。消息人
  • Windows 2000 专业版是微软最新推出的商用操作系统,它在Windows 9x的各种长处之上又集成了各种新技术,它可以增强你的系统的
  • 输入字母验证码,俺觉得特烦,特别还要输入大写字母。于是找到文件并修改成数字验证码。修改文件 验证码文件位置include\validatei
  • 网站信息排名决定因素,为何排在搜索引擎的第一页或第一名呢?1.本网站要发布的信息要多2.本网站要发布的信息一定要新3.一定要发不同的描述信息
  • 1. 用vi编写一个文档test.txt,将其存放在用户在用户主目录下,内容如下:Plagiarism is breach of Integ
  • linux中提示没有unzip命令解决方法如果你如法使用unzip命令解压.zip文件,可能是你没有安装unzip软件,下面是安装方法命令:
  • 现在我们来看看域名与主机如何影响网站的SEO:每一个网站的域名对应一个IP地址,IP 地址是在网络上分配给每台计算机或网络设备的数字标识。域
  • 学习seo也有很长一段时间了,这段时间也操作了很多案例,进行过很多次的试验和测试,对于网站优化,自己也有很多的体会,现在和大家一起交流下自己
  • 什么是PPC广告?Pay-per-click (PPC)是通过互联网登广告的最好的办法之一,它也是让你的网站产生销售最快的办法之一。当你通过
  • 前言线程?为什么有了进程还需要线程呢,他们有什么区别?使用线程有什么优势呢?还有多线程编程的一些细节问题,如线程之间怎样同步、互斥,这些东西
  • 本规则支持白名单排除式防盗链,搜索引擎友好不屏蔽,被盗链后的错误提示转向,支持各种文件类型,经作者亲验真的能用。近来小站遇到了盗链问题,至使
  • FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义,就是专门用来传输文件的协议。而FTP服务器,则是在互联
  • windows系统安装虚拟机,常见的是利用VMware Workstation这款软件来进行安装。在未接触Docker之前,我一直通过这款软
  • 我的网站首页被收录了,但CMS搜索网站名称却排不到第一个,怎么办?答:排序算法非常复杂。我们的目标,即在于通过算法改进,让用户以最小的成本,
  • 巨人网络总裁刘伟(腾讯科技摄)北京时间11月26日消息,巨人网络总裁刘伟日前在该公司财报电话会议上表示,取消开宝箱对公司第三季度有影响,第四
  • 11点半,CEO起床了,本来他还想睡下去,一直睡到自然醒,但一个电话把他吵醒了。电话是电信局的一个小姐打过来的,她在那边问,请问你是“千维建
  • 如果一个系统出现了问题,那么最重要的应该是知道从哪儿开始寻找错误和检查处理过程。ExchangeServer2003提供了丰富的检查和日志记
  • 什么是mdb数据库呢?凡是有点制作网站经验的网络管理员都知道,目前使用“IIS+ASP+ACCESS”这套组合方式建立网站是最流行的,大多数
手机版 网站运营 asp之家 www.aspxhome.com