Web站點安全靠自己

現(xiàn)在基本上每家單位都部署有各自的Web站點，但在部署Web站點過程中，最擔(dān)心的莫過于自己的站點頻繁遭遇攻擊。這給單位的站點安全運行帶來了無法忽視的威脅。所以保護(hù)Web站點安全只能靠用戶自己；只有熟悉惡意用戶的攻擊方法，才能更好地進(jìn)行安全防護(hù)。

切斷惡意程序上傳通道

現(xiàn)在單位站點有些使用的是IIS平臺，甚至還在采用免費源程序，存在相當(dāng)多的安全威脅。如有的源程序啟用了ASP文件上傳功能，這項功能實際上就是一個安全漏洞，惡意用戶能通過該漏洞，偷偷安裝放置ASP木馬文件到Web站點服務(wù)器中，同時借助木馬程序偷偷獲得對應(yīng)站點的WebShell權(quán)限。

為切斷惡意ASP文件上傳通道，首先要停用站點服務(wù)器中的無關(guān)系統(tǒng)組件。考慮到ASP木馬文件通過ASP上傳漏洞入侵Web站點時，會使用 WScript.Shell、FileSystemObject、Shell.Application、WScript.Network等組件文件，如果平時用不到這些組件文件時，不妨使用“RegSrv32 /u”命令來刪除掉。例如，在MSDOS窗口中，執(zhí)行“RegSrv32 WScript.Network /u”命令即可將WScript.Network組件文件刪除掉了。對于必用的組件，可以嘗試編輯系統(tǒng)注冊表，為某個組件修改名稱，或設(shè)置用戶權(quán)限來控制Internet來賓賬戶對目標(biāo)組件文件的訪問。

接著定期升級漏洞補(bǔ)丁程序。當(dāng)特定類型的系統(tǒng)平臺存在安全漏洞，部署在該系統(tǒng)平臺中的Web站點就易受到攻擊，只有定期升級漏洞補(bǔ)丁程序才能保護(hù)站點安全。

圖1 默認(rèn)網(wǎng)站屬性對話框

最后要為站點訪問嚴(yán)格授權(quán)。正常情況下，惡意用戶都是先想辦法竊得Web站點的主目錄訪問權(quán)限，來自由上傳非法文件；應(yīng)對其主目錄嚴(yán)格進(jìn)行授權(quán)訪問：首先在站點服務(wù)器系統(tǒng)中，依次單擊“開始”、“設(shè)置”、“控制面板”命令，雙擊控制面板窗口中的管理工具圖標(biāo)，進(jìn)入管理工具列表界面，選中“Internet服務(wù)管理器”圖標(biāo)并雙擊，展開IIS控制臺窗口。打開特定Web站點的屬性對話框，選擇“目錄安全性”選項卡，在如圖1所示的選項設(shè)置頁面中，選擇“匿名訪問和身份驗證控制”位置處的“編輯”，從驗證設(shè)置頁面中添加導(dǎo)入安全的用戶賬號，并逐一刪除不熟悉的賬號。接下來點選“主目錄”選項卡，在對應(yīng)選項設(shè)置頁面中按下“應(yīng)用程序設(shè)置”位置處的“配置”按鈕，進(jìn)入應(yīng)用程序映射列表界面，逐一選中與ASPX相關(guān)的功能選項，如無法找到相關(guān)功能選項時，表示當(dāng)前Web站點所在IIS系統(tǒng)還無法支持.NET功能，這時必須及時升級IIS系統(tǒng)到最新版本。之后從系統(tǒng)資源管理器窗口中找到Web站點所用根目錄，打開該目錄的右鍵菜單，點選“屬性”命令，點選目錄屬性框中的“安全”選項卡，在如圖2所示的選項設(shè)置頁面中，逐一刪除所有陌生的用戶賬號，導(dǎo)入添加信任的用戶賬號，并定義好訪問權(quán)限,“確認(rèn)”后退出設(shè)置對話框。

謹(jǐn)防來自網(wǎng)站編輯威脅

對于一些規(guī)模不大的單位來說，只能借助網(wǎng)上的特定模板或網(wǎng)站編輯器來設(shè)計簡單、快捷的站點。如果用戶采用的站點編輯器恰好存在安全漏洞時，那么由其開發(fā)、設(shè)計出來的Web站點，自然也就容易被他人攻擊。

圖2 Windows屬性對話框

例如，某單位使用了“Ewebedtior”站點編輯器，開發(fā)了自己的站點，要是沒有對站點數(shù)據(jù)庫名稱進(jìn)行調(diào)整時，惡意用戶能很方便地將網(wǎng)站的數(shù)據(jù)庫內(nèi)容直接下載下來，從中能夠竊取到站點的管理員賬號和密碼。

為防止來自網(wǎng)站編輯的安全威脅，大家可以多措并舉，來對用非法用戶的安全攻擊。例如，及時將站點編輯器程序升級到最新狀態(tài)，確保其明顯的安全漏洞能得到及時修補(bǔ)；將站點數(shù)據(jù)庫的登錄名稱和密碼設(shè)置得更為復(fù)雜；為站點數(shù)據(jù)庫的名稱添加“#32$&fgds”之類的前綴或后綴，這樣當(dāng)惡意用戶嘗試下載網(wǎng)站數(shù)據(jù)庫時，將會彈出目錄顯示拒絕的錯誤提示，造成下載操作無法繼續(xù)。當(dāng)然，為了保證網(wǎng)站正常調(diào)用數(shù)據(jù)庫，站點技術(shù)人員需要調(diào)整數(shù)據(jù)庫連接文件“conn.asp”中的內(nèi)容。

此外，在IIS服務(wù)器中直接將數(shù)據(jù)庫的擴(kuò)展名調(diào)整為其他類型，也能防止來自網(wǎng)站編輯的威脅。例如，將站點數(shù)據(jù)庫的名稱“aaa.mdb”調(diào)整為“aaa.inf”，同時在數(shù)據(jù)庫連接文件“conn.asp”中進(jìn)行同樣的調(diào)整操作，這樣惡意用戶就不能輕易找到下載目標(biāo)，即使找到目標(biāo)準(zhǔn)備下載時，瀏覽器也會彈出不能發(fā)現(xiàn)對應(yīng)頁面的錯誤提示。如果不想調(diào)整站點數(shù)據(jù)庫的名稱或擴(kuò)展名時，也能嘗試將該文件存儲到Web站點主目錄之外的路徑，來避免惡意用戶輕易發(fā)現(xiàn)到下載目標(biāo)。例如，可以在主站點的根目錄之外，手動生成“H:xyx”文件夾，將網(wǎng)站數(shù)據(jù)庫文件遷移到該目錄下，同時對“conn.asp”文件中的相關(guān)路徑信息進(jìn)行調(diào)整。這樣，由于站點數(shù)據(jù)庫文件位于主目錄之外，惡意用戶也無法通過瀏覽器進(jìn)行下載訪問。

強(qiáng)制使用站點證書服務(wù)

強(qiáng)制使用站點證書服務(wù)，可避免無關(guān)用戶對站點的入侵和攻擊。要做到這一點，先要為特定站點生成SSL驗證證書。逐一點選Web站點所在服務(wù)器主機(jī)系統(tǒng)的“開始”、“設(shè)置”、“控制面板”命令，打開系統(tǒng)控制面板窗口，通過“管理工具”、“Internet 信息服務(wù)(IIS)管理器”等圖標(biāo)進(jìn)入IIS控制臺窗口。將鼠標(biāo)定位在“本地計算機(jī)”、“網(wǎng)站”分支上，打開特定站點的右鍵菜單，執(zhí)行“屬性”命令，切換到目標(biāo)站點屬性對話框。選擇“目錄安全性”選項卡，在“安全通信”設(shè)置項處按下“服務(wù)器證書”按鈕，彈出身份驗證證書安裝向?qū)υ捒颍勒仗崾竟催x“新建證書”選項，定義好新安裝身份驗證證書名稱，設(shè)置好密鑰位長和Web站點詳細(xì)域名信息，指定好特定文本文件來保存證書請求信息，默認(rèn)狀態(tài)下系統(tǒng)會選用Windows安裝文件夾中的“certreq.txt”文件來自動保存證書請求信息，最后單擊“完成”。

圖3 證書服務(wù)選項

接著安裝證書服務(wù)組件。用鼠標(biāo)雙擊系統(tǒng)控制面板窗口，點擊其中的“添加或刪除程序”圖標(biāo)，選擇“添加/刪除Windows組件”選項卡，勾選“證書服務(wù)” 選項（如圖3所示），按下“是”按鈕，選用“獨立根CA”選項，輸入好CA名稱信息，設(shè)置證書生效時間，證書缺省的有效時間為5年，最后選擇好證書數(shù)據(jù)庫的保存路徑，并設(shè)置好日志信息的存儲位置。

下面申請高級網(wǎng)站證書。進(jìn)入系統(tǒng)資源管理器窗口，找到system32文件夾，將其中的Certsrv子文件夾復(fù)制到Web站點主目錄下。開啟IE瀏覽器程序運行狀態(tài)，在其地址欄中輸入“http://Web網(wǎng)站地址/certsrv/default.asp”， 打開Microsoft證書服務(wù)頁面，依次單擊“申請一個證書”、“高級證書申請”、“使用base64編碼的CMC或PKCS #10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續(xù)訂證書申請”選項，輸入“certreq.txt”文件中的內(nèi)容，單擊“提交”，順利申請獲得高級網(wǎng)站證書。之后還要頒發(fā)證書，使申請得到的證書立即生效。在控制面板窗口中雙擊“證書頒發(fā)機(jī)構(gòu)”圖標(biāo)，從“掛起的申請”列表中打開特定高級網(wǎng)站證書的右鍵菜單，逐一點選“所有任務(wù)”、“頒發(fā)”命令；勾選“頒發(fā)的證書”選項，從“頒發(fā)的證書”列表中右擊特定高級網(wǎng)站證書，單擊“詳細(xì)信息”選項卡，按下對應(yīng)選項設(shè)置頁面中的“復(fù)制到文件”按鈕，彈出證書導(dǎo)出向?qū)υ捒颍斎牒脤?dǎo)出證書文件名稱，退出高級網(wǎng)站證書頒發(fā)對話框。

最后導(dǎo)入已頒發(fā)好的網(wǎng)站證書到Web站點主目錄。打開IIS控制臺窗口，依次選擇“本地計算機(jī)”、“網(wǎng)站”分支選項，用鼠標(biāo)右鍵單擊特定Web站點名稱，選擇右鍵菜單中的“屬性”，在“目錄安全性”選項設(shè)置頁面中點擊“服務(wù)器證書”按鈕，勾選“分配現(xiàn)有證書”選項，將已頒發(fā)成功的高級網(wǎng)站證書導(dǎo)入進(jìn)來，再定義好特定站點使用的SSL端口，最后點擊“完成”按鈕即可。

強(qiáng)化用戶訪問輸入過濾

當(dāng)Web站點沒有對用戶訪問進(jìn)行嚴(yán)格的輸入過濾操作時，非法用戶就能輕易將一些惡意代碼在客戶端瀏覽器上運行，從而盜取站點的隱私數(shù)據(jù)，甚至能利用合法用戶的身份來執(zhí)行一些攻擊性操作，例如造成訪問站點的人感染網(wǎng)絡(luò)病毒。

為避免上述安全風(fēng)險，首先要增強(qiáng)IE瀏覽器安全防范等級。在設(shè)置安全訪問等級時，先開啟IE瀏覽器程序運行狀態(tài)，依次單擊瀏覽窗口中的“工具”、“Internet選項”命令，彈出Internet選項設(shè)置對話框，選擇“安全”選項卡，展開選項設(shè)置頁面，將其中的安全級別設(shè)置為高，并且在“自定義”位置處按需進(jìn)行合適的設(shè)置，將一些平時用不到的腳本全部禁用掉。其次加強(qiáng)對用戶輸入內(nèi)容的過濾。在確保Web網(wǎng)站工作正常的前提下，可以對填寫在網(wǎng)站表單中的“#”、“

借助工具加大防護(hù)力度

大家很多時候只能借助專業(yè)工具來加大對站點的安全防護(hù)力度。最常使用的安全工具就是防火墻，善于借助它的力量，能輕松應(yīng)對各種最新安全攻擊。

一般來說，對于規(guī)模不大的單位來說，經(jīng)常會將防火墻工具和Web站點服務(wù)器部署在一起，當(dāng)訪問者瀏覽特定站點內(nèi)容時，防火墻工具就能對用戶的訪問行為、瀏覽的數(shù)據(jù)內(nèi)容進(jìn)行動態(tài)監(jiān)控，同時過濾可疑數(shù)據(jù)、攔截非法攻擊操作。有些防火墻工具通過在站點服務(wù)器端，直接嵌入安全掃描模塊，依照用戶預(yù)先配置的安全要求，來智能掃描、分析站點服務(wù)器的發(fā)送數(shù)據(jù)和接受數(shù)據(jù)，自動屏蔽和過濾對站點有安全威脅的行為和數(shù)據(jù)，確保Web站點不會接受到攻擊數(shù)據(jù)。

強(qiáng)制站點進(jìn)行身份驗證

為了避免重要Web站點的數(shù)據(jù)，被惡意用戶中途攔截，大家可以啟用站點的身份驗證功能，對網(wǎng)站數(shù)據(jù)進(jìn)行加密傳輸。打開Web站點的目錄安全選項設(shè)置頁面，單擊“安全通信”處的“編輯”按鈕，將“要求安全通道(SSL)”、“要求 128位加密”等選項依次選中，在“身份驗證和訪問控制”位置處按“編輯”按鈕，將“啟用匿名訪問”、“集成 Windows身份驗證”這些選項的選中狀態(tài)全部取消，再將“基本身份驗證”選中即可。

完成上述配置任務(wù)后，就能強(qiáng)制站點進(jìn)行身份驗證了。日后，用戶再對Web站點進(jìn)行訪問時，只要在IE瀏覽框中輸入“https://Web站點地址”，就能看到頁面內(nèi)容了。此時，該站點中的數(shù)據(jù)包在傳輸時，任何黑客都將不能偷窺到，這樣Web站點的數(shù)據(jù)傳輸就安全了。