服务器安全经验:防止非法登陆
作者:佚名 发布时间:2009-01-07 13:53:00
标签:服务器,安全,验证,登陆
1、对数据库进行安全配置,例如你的程序连接数据库所使用的帐户/口令/权限,如果是浏览新闻的,用只读权限即可;可以对不同的模块使用不同的帐户/权限;另外,数据库的哪些存储过程可以调用,也要进行严格地配置,用不到的全部禁用(特别是cmd这种),防止注入后利用数据库的存储过程进行系统调用;
2、在获取客户端提交的参数时,进行严格的过滤,包括参数长短、参数类型等等;
3、对管理员后台进行严格的保护,有条件的话,应该设置为只允许特定的IP访问(例如只允许管理员网段访问)——这个要根据实际情况来看的;
4、对操作系统进行安全配置,防止注入后调用系统的功能,例如把
cmd.exe/tftp.exe/ftp.exe/net.exe
这些文件全部转移到其他目录,并对目录进行严格的权限指派;
5、设置网络访问控制;
6、有条件的话,配置针对HTTP的内容过滤,过滤病毒、恶意脚本等;
7、如果有必要,可以考虑选择HTTPS,这样可以防止很多的注入工具扫描,我以前自己开发注入检测工具的时候,考虑过做支持HTTPS方式的,但目前还没付诸实施。
相信你也看出来了,总的来说程序方面主要考虑权限、参数过滤等问题;权限主要包括IIS浏览权限、数据库调用权限。除此以外,还要考虑数据库、操作系统的安全配置。另外,不知道你们在开发过程中会不会用到其他人开发的组件,例如图片上传之类的,这类组件你们研究过其安全性么?或者开发的过程中,绝大多数人会使用网上、书上提供的现成代码,例如用户登录验证等等,这些公开代码,也要研究其安全性问题。
0
投稿
猜你喜欢
- 网上看奥运,推荐几个网站,发现好的,我再补充。1、央视网-奥运专题 2008.cctv.com我一直挺喜欢央视网的网页设计,相比其它门户网站
- 不久前有一些以前的学员问我很多关于百度竞价方面的问题,因为网络上一直也没看到什么系统的教程,所以一直想把这方面的东西整理起来跟大家分享一下,
- 北京时间10月15日早间消息,据国外媒体今日报道,消息人士透露,EA斥资2.5亿美元收购了Facebook游戏开发商Playfish。消息人
- Windows 2000 专业版是微软最新推出的商用操作系统,它在Windows 9x的各种长处之上又集成了各种新技术,它可以增强你的系统的
- 输入字母验证码,俺觉得特烦,特别还要输入大写字母。于是找到文件并修改成数字验证码。修改文件 验证码文件位置include\validatei
- 网站信息排名决定因素,为何排在搜索引擎的第一页或第一名呢?1.本网站要发布的信息要多2.本网站要发布的信息一定要新3.一定要发不同的描述信息
- 1. 用vi编写一个文档test.txt,将其存放在用户在用户主目录下,内容如下:Plagiarism is breach of Integ
- linux中提示没有unzip命令解决方法如果你如法使用unzip命令解压.zip文件,可能是你没有安装unzip软件,下面是安装方法命令:
- 现在我们来看看域名与主机如何影响网站的SEO:每一个网站的域名对应一个IP地址,IP 地址是在网络上分配给每台计算机或网络设备的数字标识。域
- 学习seo也有很长一段时间了,这段时间也操作了很多案例,进行过很多次的试验和测试,对于网站优化,自己也有很多的体会,现在和大家一起交流下自己
- 什么是PPC广告?Pay-per-click (PPC)是通过互联网登广告的最好的办法之一,它也是让你的网站产生销售最快的办法之一。当你通过
- 前言线程?为什么有了进程还需要线程呢,他们有什么区别?使用线程有什么优势呢?还有多线程编程的一些细节问题,如线程之间怎样同步、互斥,这些东西
- 本规则支持白名单排除式防盗链,搜索引擎友好不屏蔽,被盗链后的错误提示转向,支持各种文件类型,经作者亲验真的能用。近来小站遇到了盗链问题,至使
- FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义,就是专门用来传输文件的协议。而FTP服务器,则是在互联
- windows系统安装虚拟机,常见的是利用VMware Workstation这款软件来进行安装。在未接触Docker之前,我一直通过这款软
- 我的网站首页被收录了,但CMS搜索网站名称却排不到第一个,怎么办?答:排序算法非常复杂。我们的目标,即在于通过算法改进,让用户以最小的成本,
- 巨人网络总裁刘伟(腾讯科技摄)北京时间11月26日消息,巨人网络总裁刘伟日前在该公司财报电话会议上表示,取消开宝箱对公司第三季度有影响,第四
- 11点半,CEO起床了,本来他还想睡下去,一直睡到自然醒,但一个电话把他吵醒了。电话是电信局的一个小姐打过来的,她在那边问,请问你是“千维建
- 如果一个系统出现了问题,那么最重要的应该是知道从哪儿开始寻找错误和检查处理过程。ExchangeServer2003提供了丰富的检查和日志记
- 什么是mdb数据库呢?凡是有点制作网站经验的网络管理员都知道,目前使用“IIS+ASP+ACCESS”这套组合方式建立网站是最流行的,大多数