一.iis加固
1.iis自动更新 避免0day。:管理工具–iis管理器–网站:web项目–右键–属性
2.更改默认日志的路径。目录:保存的目录只有系统可写,管理员只读。网站:改目录 高级:协议版本,cookies:入侵还原。 日志分析:(目前是搜集不提前预防)
3.iis权限:不能给写入和目录浏览(防止目录遍历漏洞)
主目录:写入,目录浏览不要给。防止上传网马。
4.删除所有不必要的映射,扩展名,保存当前页面所使用的脚本:asp,防挂马。
主目录–配置–映射
5.主目录–配置–调试 :向客户端发送信息:此网站已经记录…
6.限制后台访问ip:admin–目录安全性–ip限制
7.删除所有的自定义错误:防挂马。
二.数据库加固
1.力度越细,安全性越高:库。对象:表,列,行
2.更改默认数据库路径:conn.asp
3.禁止web和数据库同台:web–dmz,数据库–放内网。
4.数据库重定向到主页:data/db.mdb — 右键-属性-重定向
三.NTFS权限加固:
终极防webshell(能写不能执行,能执行不能写入)d:\website 权限小–大。扩大….
1.删掉所有权限。
2.添加管理员–完全控制。
3.添加iis_wpg工作组–完全控制
4.添加iisuser_benet–只读
5.写入的目录:data.databackup.uploadface.uploadfile,iisuser_benet–写入。(Linux下就www用户)
6.给以上需要写入权限的目录:iis-网站-项目:相对应的目录:拒绝读。
小扩展:
asp注入小结:
1.利用正常的http服务
2.服务器的软硬件防火墙也是无可奈何
3.简单的手动注入只需要一个浏览器
4.sniffer(用于查看post提交的数据包)
5.自动化注入工具。sqlmap, pangplin.等
个人注意:退出清楚浏览器。 (敏感信息监测工具…)
