如何讓W(xué)eb服務(wù)器遠離腳本攻擊

發(fā)表日期：2014-09-19 文章編輯：瀏覽次數(shù)：77 標簽：

　不少Web服務(wù)器都是架設(shè)在Windows 2003服務(wù)器系統(tǒng)環(huán)境中的，但是在默認狀態(tài)下該服務(wù)器系統(tǒng)存在不少安全漏洞，許多黑客或者非法攻擊者往往會充分利用這些漏洞，來攻擊架設(shè)在該系統(tǒng)中的Web網(wǎng)站。為了提高Web服務(wù)器的運行安全性，我們有必要及時采取措施，防范Web服務(wù)器中的各式腳本攻擊；下面，本文就為各位貢獻幾則讓W(xué)eb服務(wù)器遠離腳本攻擊的設(shè)置巧招，希望這些內(nèi)容能幫助各位安全維護好服務(wù)器系統(tǒng)！

　　從訪問權(quán)限下手，防范腳本攻擊

　　網(wǎng)站訪問者在訪問Web服務(wù)器中的內(nèi)容時，一般是通過“IUSR_SERVERNAME”用戶帳號實現(xiàn)訪問操作的，普通訪問者對Web服務(wù)器所能執(zhí)行的權(quán)限，就是由“IUSR_SERVERNAME”用戶帳號的權(quán)限來決定的。默認狀態(tài)下，“IUSR_SERVERNAME”用戶帳號是Windows 2003服務(wù)器系統(tǒng)在創(chuàng)建IIS的過程中自動創(chuàng)建的，該用戶帳號常常是為那些不需要進行身份驗證就能輕松訪問網(wǎng)站數(shù)據(jù)庫內(nèi)容的匿名用戶自動開設(shè)的。為了防止這些普通的匿名用戶隨意執(zhí)行Web服務(wù)器中的腳本程序，導(dǎo)致服務(wù)器存在各種安全隱患，我們有必要對“IUSR_SERVERNAME”用戶帳號的權(quán)限進行一些合適的設(shè)置，下面就是具體的訪問權(quán)限設(shè)置步驟：

　　首先以超級管理員權(quán)限帳號登錄進Windows 2003服務(wù)器系統(tǒng)中，在該系統(tǒng)桌面中依次單擊“開始”/“程序”/“附件”/“Windows資源管理器”命令，在彈出的系統(tǒng)資源管理器窗口中，找到Web服務(wù)器主目錄所在的文件夾，并用鼠標右鍵單擊主目錄圖標，從彈出的右鍵菜單中執(zhí)行“屬性”命令，打開網(wǎng)站主目錄的屬性設(shè)置窗口，在該窗口中我們需要將“everyone”帳號對服務(wù)器系統(tǒng)中的所有磁盤分區(qū)訪問權(quán)限刪除掉，以防止任意一位普通用戶可能對服務(wù)器帶來潛在的安全攻擊。

　　考慮到“everyone”帳號是任意一個用戶或組權(quán)限設(shè)置的父對象，因此在將“everyone”帳號的訪問權(quán)限刪除掉之前，我們必須先將子對象對父對象權(quán)限繼承關(guān)系刪除掉；在刪除這種權(quán)限繼承關(guān)系時，我們可以單擊網(wǎng)站主目錄屬性設(shè)置窗口中的“安全”標簽，打開如圖1所示的安全標簽頁面，單擊該標簽頁面中的“高級”按鈕，進入到主目錄的高級安全設(shè)置窗口，檢查一下該設(shè)置窗口中的“允許父項的繼承權(quán)限傳播到該對象和所有子對象。包括那些在此明確定義的項目”項目是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項已經(jīng)選中的話，我們必須及時將它的選中狀態(tài)取消，隨后系統(tǒng)會自動彈出如圖2所示的提示窗口，詢問我們是否將父對象的訪問權(quán)限拷貝給子對象，此時我們可以單擊“復(fù)制”按鈕，這樣的話我們?nèi)蘸缶筒恍枰獙芾韱T用戶的權(quán)限進行重新設(shè)置了。

圖1

　　接下來我們就能對“IUSR_SERVERNAME”用戶帳號權(quán)限進行有針對性設(shè)置了。在設(shè)置“IUSR_SERVERNAME”用戶帳號權(quán)限時，我們先從圖1所示的“組或用戶名稱”列表框中選中“IUSR_SERVERNAME”用戶帳號，然后在對應(yīng)該帳號下面的權(quán)限列表框中將“列出文件夾目錄”、“寫入”、“讀取”等權(quán)限全部設(shè)置為“允許”，而不要將“完全控制”、“讀取和運行”等權(quán)限設(shè)置為允許；此外，對于那些不需要通過Web進行寫入操作的文件夾，我們只需要將“列出文件夾目錄”、“讀取”等權(quán)限賦予給“IUSR_SERVERNAME”用戶帳號就可以了。到了這里，作為網(wǎng)站普通訪問者的“IUSR_SERVERNAME”用戶帳號就沒有執(zhí)行腳本的權(quán)利，那么這些普通來賓用戶自然就無法對Web服務(wù)器進行各種形式的腳本攻擊了，這樣的話Web服務(wù)器的安全性就能在一定程度上得到保證了。

圖2

　　從腳本權(quán)限下手，防范腳本攻擊

　　從網(wǎng)站存放文件的類型來看，保存在Web服務(wù)器中的文件類型主要分為兩大類，一類就是各種形式的腳本文件，另外一類就是非腳本文件，這包括普通的網(wǎng)頁文件、數(shù)據(jù)庫文件以及各種格式的圖象文件等。所以，為了保護Web服務(wù)器的安全，我們有必要對不同類型文件的執(zhí)行權(quán)限進行有針對性地設(shè)置，確保Web服務(wù)器中的各種腳本文件能夠被安全、穩(wěn)定地執(zhí)行，而避免非腳本文件被隨意執(zhí)行。

　　在設(shè)置腳本文件的執(zhí)行權(quán)限時，我們可以先依次單擊“開始”/“程序”/“管理工具”/“Internet信息服務(wù)管理器”命令，在彈出的IIS控制臺窗口中，找到存放各類腳本文件的指定文件夾，并用鼠標右鍵該文件夾所對應(yīng)的圖標，從隨后彈出的快捷菜單中執(zhí)行“屬性”命令，打開對應(yīng)文件夾的屬性設(shè)置窗口。

圖3

　　單擊該設(shè)置窗口中的“目錄”標簽，打開如圖3所示的標簽頁面，在該頁面的“應(yīng)用程序設(shè)置”處，單擊“執(zhí)行權(quán)限:”右側(cè)的下拉按鈕，從隨后彈出的下拉列表中選中“純腳本”選項，并單擊“確定”按鈕，那樣的話指定目錄中的腳本文件才能被網(wǎng)站服務(wù)器執(zhí)行，而對于那些不屬于腳本類型的文件都不會被執(zhí)行。按照相同的操作方法，我們打開網(wǎng)站中其他目錄的屬性設(shè)置界面，并在該界面中將其他目錄的應(yīng)用程序執(zhí)行權(quán)限設(shè)置為“無”，那樣一來其他目錄中的腳本或者普通文件都不會被網(wǎng)站服務(wù)器系統(tǒng)執(zhí)行的。

　　從站點配置下手，防范腳本攻擊
　

　　一旦按照上面的方法將數(shù)據(jù)庫文件下面的ASP腳本拒絕執(zhí)行的話，許多人會認為他們將無法繼續(xù)使用ASP腳本執(zhí)行錯誤的方法來避免網(wǎng)站數(shù)據(jù)庫文件被惡意下載了；事實上，我們只要對目標網(wǎng)站的應(yīng)用程序配置參數(shù)進行合適修改，同樣能夠有效地保護網(wǎng)站數(shù)據(jù)庫文件被惡意下載。下面，本文就以保護ACCESS類型的數(shù)據(jù)庫為操作藍本，向各位朋友介紹一下如何從站點配置下手，來保護網(wǎng)站數(shù)據(jù)庫文件被惡意下載的具體設(shè)置操作：

　　首先以超級管理員權(quán)限登錄到IIS服務(wù)器所在的計算機系統(tǒng)，然后在該系統(tǒng)桌面中依次執(zhí)行“開始”/“程序”/“管理工具”/“Internet信息服務(wù)管理器”命令，打開服務(wù)器系統(tǒng)的IIS控制臺窗口，并從該窗口的左側(cè)列表區(qū)域找到目標網(wǎng)站選項，再用鼠標右鍵單擊該網(wǎng)站選項，從彈出的右鍵菜單中執(zhí)行“屬性”命令，進入到該目標網(wǎng)站的屬性配置窗口.

　　單擊該配置窗口中的“主目錄”標簽，并在對應(yīng)的標簽頁面中單擊“配置”按鈕，打開如圖4所示的應(yīng)用程序配置界面；在該配置界面中單擊“添加”按鈕，進入到如圖5所示的添加對話框；在其中的“擴展名”文本框中輸入“.mdb”，在“可執(zhí)行文件”文本框中隨意輸入一個EXE格式的文件，其余參數(shù)都使用默認數(shù)值，最后單擊“確定”按鈕就能完成相關(guān)設(shè)置操作了。之后，當我們再次嘗試從IE瀏覽器中訪問目標網(wǎng)站的數(shù)據(jù)庫文件內(nèi)容時，IE瀏覽器就會彈出無法找到對應(yīng)頁面的錯誤提示了，那樣一來目標網(wǎng)站的數(shù)據(jù)庫就不會受到惡意用戶的非法攻擊了，這樣的話Web服務(wù)器的安全性也會得到一定程度的保障！