Web安全專題問答

Web服務器作用相當突出，如果允許別人自由執行關機操作的話，一定會影響整個網絡用戶的正常工作。為了不讓別人自由關閉Web服務器，請問如何讓系統“開始”菜單中的關機命令隱藏起來？

答：打開系統組策略控制臺窗口，將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“開始菜單和任務欄”分支上，打開“刪除并阻止訪問‘關機’、‘重新啟動’、‘睡眠’和‘休眠’命令”組策略屬性對話框，選中“已啟用”選項，單擊“確定”按鈕后關閉設置對話框即可。

有的用戶會通過Web訪問方式，遠程管理網絡打印機，可是該訪問方式容易被非法用戶利用，從而威脅到計算機系統運行安全，請問如何禁止普通用戶啟用這項功能？

答：在網絡打印機所在計算機系統中，逐一選擇“開始”、“運行”選項，彈出系統運行對話框，輸入“regedit”命令并回車，開啟注冊表編輯器運行狀態。依次跳轉到“HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft” 注冊表節點上，用鼠標右擊“Microsoft”選項，從彈出右鍵菜單中逐一單擊“新建”、“項”命令，創建好“Windows NT”子項。

同 樣 地，在“Windows NT”子項下面手工創建好“Printers” 項， 并 在該子項右側區域創建好“DisableWebPrinting”雙字節值，同時將它的數值調整為“1”，最后刷新系統注冊表，就能禁止普通用戶啟用網絡打印機的Web打印與管理功能了。

一些黑客之所以能夠輕松進入Web站點的后臺系統，主要是這類Web站點使用了默認的登錄賬號和密碼，站點后臺路徑使用的也是“/admin/login.asp”之類的域名，這些信息很容易被黑客猜測到。請問如何才能防止黑客通過默認設置對Web站點發動惡意攻擊呢？

答：首先不要使用“admin”之類的默認管理賬號，一定要將這類管理賬號名稱修改為十分復雜的名稱，同時也要將對應賬號的密碼設置得足夠健壯，以避免被黑客輕易破解成功。其次要善于將網站后臺路徑隱藏起來，例如將“login.asp”等重要文件，隱藏到不容易被人猜測出來的較深層次目錄中，而且還要將重要文件名稱修改一下，以防止黑客依照網站模板系統輕易找到后臺入口。

為了保證Web服務器的訪問安全性和穩定性，請問怎樣對IIS站點的同時訪問人數進行限制？

答：打開IIS平臺管理窗口，找到特定Web服務器站點名稱，用鼠標右鍵單擊之，選擇快捷菜單中的“屬性”命令，切換到Web站點屬性設置框。點擊“性能”選項卡，在對應標簽頁面的“網站連接”位置處，選中“連接限制為”選項，同時在對應選項旁邊的文本框中，輸入合適的同時在線人數，比方說輸入“50”，確認后保存設置操作。重新啟動服務器系統，這樣基于IIS平臺的Web站點日后就只能允許50個用戶同時在線訪問了，當在線訪問的人數超過該數值時，后續用戶的訪問請求將會被服務器強行拒絕。

Web服務器要想安全運行，一定要經過合適配置，一旦配置丟失或損壞，它就無法安全對外服務了。為了保護Web服務器配置信息的安全，我們應該怎樣快速備份Web服務器的配置信息？

答：使 用IIS Export Utility工具，可以快速備份IIS服務器中Web站點的配置信息，它適用于IIS4、IIS5、IIS6等不同版本。在使用該工具備份Web站點配置時，先從網上下載安裝好IIS Export Utility工具，啟動運行它，在主操作界面“Import from”位置處，選擇“An IIS Server”標簽，在對應設置區域處輸入Web服務器主機名稱或IP地址，同時設置好IIS站點版本類型，例如選擇IIS4、IIS5或 IIS6，從“Type of site”位置處選中站點類型，正常應該選“WWW”，點擊“Lists Sites”按鈕，從列表框中選擇需要備份的特定站點名稱，在這里可以選中多個站點同時備份。

接著在“Export to”位置處選“Database”標簽，在對應標簽設置區域選IIS版本類型，這里的設置一定要和之前的設置相同。之后，進入“Another IIS Server”選項設置頁面，在這里輸入新站點名稱，也可以使用原始站點名稱，再選中“Create as new webs”選項，同時選中有效IIS版本號，最后單擊“Export”按鈕，結束IIS指定Web站點配置信息的備份任務。

日后需要還原Web站點配置信息時，只要打開對應程序主操作界面，選擇“Import from”位置處的“Database”標簽，在“Type of site”框選擇“WWW”選項，點擊“List Sites”按鈕，從“Available Sites”位置處導入之前的備份文件。接著在“Export Server”設置項處輸入本地計算機名稱，并選中“Overwrite existing webs”選項，最后點擊“Export”按鈕，結束Web站點的配置還原操作。

現在很多Web服務器都有目錄遍歷漏洞，黑客通過該漏洞，能在Web站點所有目錄中自由跳轉訪問，從而尋找獲取conn.asp之類的重要文件，以竊取Web服務器數據庫的隱私內容。為了防范Web服務器安全，請問如何預防目錄遍歷漏洞攻擊？

答：首先為Web服務器主目錄進行合適授權，為普通用戶授予的訪問權限越低越好。在進行該操作時，先打開系統資源管理器窗口，找到指定Web站點主目錄文件夾，打開它的右鍵菜單，點擊“屬性”命令，彈出主目錄屬性設置框，刪除“everyone”帳號對服Web務器所有分區的訪問權限。

其 次 為“I U S R_SERVERNAME”賬號分配“讀取”、“寫入”、“列出文件夾目錄”等權限，但一定要取消“完全控制”、“讀取和運行”等權限。

第三對于那些不需要利用Web方式寫入內容的文件夾，只需要為“IUSR_SERVERNAME”賬號授予“列出文件夾目錄”、“讀取”等權限即可。同樣地，為其他合法可信的用戶授予恰當的訪問權限。此外，還應限制用戶將提交的參數作為文件名使用，特別是要仔細檢查那些存在“..”、“../”、“/”等關鍵字符的目錄路徑。

很多黑客常常會先通過竊取Web服務器主目錄訪問權限，來悄悄修改Web站點頁面內容。為了不讓黑客輕易修改Web站點主頁面內容，請問如何控制Web網站的主目錄訪問權限？

答：首先打開Web服務器所在主機系統的IIS控制臺窗口，展開本地主機分支下的特定Web網站，打開它的右鍵菜單，點擊“屬性”命令，切換到特定站點的屬性對話框，選擇“目錄安全性”標簽，在對應標簽頁面的“匿名訪問和身份驗證控制”設置項處，點擊“編輯”按鈕，進入驗證控制設置對話框，在這里刪除所有用戶賬號，再將合法可信用戶賬號導入進來，這樣可以禁止黑客通過匿名方式訪問Web站點。

之后正確設置Web服務器的程序映射功能，阻止黑客隨意進行程序映射操作。一般來說，只要讓Web服務器允許.NET程序映射就足夠了，將其他用不到的程序映射依次刪除，謹防它們被黑客悄悄使用。要做到這一點，可以在特定Web站點的屬性對話框中，選擇“主目錄”標簽，在其后出現的標簽頁面中，單擊“應用程序設置”設置項處的“配置”按鈕，切換到應用程序映射對話框，從中選擇與ASPX關聯的功能選項，如果不能找到對應功能選項時，那就說明Web服務器所在的IIS系統控件還不能支持.NET功能，此時可以嘗試將IIS系統版本升級到最新版本。

為了提高管理效率，網管員經常會用遠程桌面連接程序，對Web服務器進行遠程控制。而遠程控制會用到默認的3389端口，為了防止惡意用戶趁機利用該端口，對Web服務器發動惡意攻擊，請問如何將該端口修改成陌生號碼？

答：很簡單！在Web服務器所在主機系統中，打開系統注冊表編輯窗口，將鼠標定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注冊表分支上，雙擊目標分支下的PortNumber鍵值，在彈出的編輯鍵值對話框中，輸入新的端口號碼，比方說輸入“8564”，確認后保存設置操作。之后，將鼠標定位 到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 冊表分支上，雙擊目標分支下的PortNumber鍵值，在彈出的編輯鍵值對話框中，也輸入“8564”，確認后保存設置操作，最后重新啟動計算機系統即可。

有的用戶在訪問某個Web站點時，沒有看到對應站點的主頁面內容，而是看到了身份驗證對話框，不知道這是怎么回事，請問如何取消登錄驗證對話框？

答：這很可能是特定Web站點在安全登錄方面沒有配置正確。此時可以打開服務器主機的IIS主控臺窗口，從該窗口的左側列表區域，找到特定Web站點名稱，打開它的右鍵菜單，選擇“屬性”命令，切換到Web站點屬性設置框，單擊“目錄安全性”標簽，打開目錄安全性標簽頁面。單擊“身份驗證和訪問控制”位置處的“編輯”按鈕，展開身份驗證和訪問控制設置界面，檢查這里的“匿名訪問”、“集成Windows驗證”等選項是否處于選中狀態，如果發現它們已被選中，不妨嘗試取消它們的選中狀態進行測試，相信這樣操作就能取消登錄驗證對話框。

筆者在單位局域網部署了一個Web站點，域名解析一切正常，只是本地網絡運行商因為安全因素關閉了80端口。所以，筆者在訪問自己部署的Web網站時，只能用帶端口的域名進行訪問，例如使用“www.xxx.com:8080”，嘗 試 直 接 用“www.xxx.com”域名訪問不了。想問一下，如何才能成功使用“www.xxx.com”域名進行Web訪問，是不是一定要讓本地運營商開通80服務端口啊？

答：這個一定要本地網絡運行商給開通80端口，才能使用“www.xxx.com”域名訪問，否則必須要在域名上加端口才行。

在對Web站點中的SQL服務器數據庫執行語句查詢操作時，有時容易發生不安全穩定現象，請問如何有效避免這種現象？

答：遇到這類現象時，首先應該從SQL語句和數據表的結構上尋找故障原因，優化SQL語句和為數據庫的查詢字段建索引是最常用的辦法。此外，數據庫的查詢超時設置一般是SQL Server自己維護的，只有當用戶的實際查詢時間超過估計查詢時間的25倍時，才會超時。而引起超出估計值那么多的原因有兩種可能：一是估計時間不準確；二是SQL語句涉及到大量占用內存的查詢，比方說排序和哈希操作，內存不夠，需要排隊等待資源造成的。要解決上面的問題，可以優化語句，創建使用合適的索引。第二增加服務器系統內存資源。第三更新要查詢表的索引分發統計，保證估計時間的正確性。

在Windows Server 2003系統環境下，如果服務器系統的授權模式設置不正確，也容易引起Web訪問的安全事故。請問如何檢查Web服務器系統的授權模式配置？

答：先以系統管理員權限登錄Web服務器系統，依次單擊“開始”、“設置”、“控制面板”選項，打開系統控制面板窗口，雙擊其中的“授權”圖標，切換到授權模式配置對話框，檢查特定Web站點當前使用的授權模式是“每服務器”，還是“每設備或用戶”，如果改變授權模式配置后，Web訪問失敗故障現象自動消失，那就表示之前的Web訪問故障，真的與Web服務器系統授權模式配置有關。

請問如何防止黑客對Web站點系統進行注入攻擊？

答：大家知道，當Web站點系統自身存在注入漏洞時，那么黑客就能利用啊D之類的注入檢測工具，來猜測Web站點數據庫以及相關隱私信息，并利用這些信息猜測數據庫后臺登錄地址，導致Web站點系統最后被攻陷。

要想防止黑客對Web站點系統進行注入攻擊，最有效的辦法就是通過防注入程序，對一些特殊的命令或字符進行過濾，比方說拒絕提交“insert”、“select”、“and”、“or”等關鍵字，并將它們定義為非法字符。

現在有些Web站點是架設在Windows 2008系統中的，善于借助該系統的遠程服務網關功能，管理員能通過HTTPS方式安全穩定地建立與Web站點的遠程連接。請問在該系統中，為什么用遠程服務網關功能，比用傳統的遠程桌面連接或VPN連接方式，遠程管理Web站點更安全呢？

答：大家知道，通過遠程桌面連接方式遠程管理Web站點時，需要開放Web服務器的TCP端口3389，而直接向Internet網絡開放TCP 3389端口，容易遭來安全威脅。而使用VPN連接方式遠程管理Web站點時，雖然連接性能比較安全，同時遠程管理更加靈活，但有時候實施起來并不太方便，畢竟不少公共Internet無線上網節點并沒有開啟PPTP或L2TP通信端口，同時有的公共網絡也不能正常初始化VPN連接。

相比之前的兩種遠程連接方式，Web站點所在服務器系統的遠程服務網關功能，既安全又通用，該功能將RDP封裝在HTTPS中，管理員能利用HTTPS的端口TCP 443端口與遠程服務網關服務器建立連接，遠程服務網關對普通計算機系統進行身份驗證，從HTTPS中解壓RDP，之后在TCP 3389端口上將連接轉發給目標資源。借助遠程服務網關，普通計算機系統只需要訪問TCP 443端口，就能與Web站點建立一個安全的RDP會話。此外，善于利用遠程服務網關的身份驗證功能，可以有效提升Web站點遠程管理的穩定性和安全性。

在使用IE瀏覽器訪問Web頁面內容時，一些潛藏在Web頁面背后的病毒、木馬程序，可能會自動下載到本地硬盤，日后這些惡意內容可能會威脅本地計算機的運行安全。請問如何禁止Web頁面中的內容自動下載存儲到本地硬盤中？

答：首先使用“Win+R”快捷鍵，調用系統運行文本框，在其中執行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。在該編輯窗口左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“安 全功能”、“限制文件下載”分支上。雙擊該分支下的“Internet Explorer進程”組策略，打開“Internet Explorer進程”屬性對話框，選中“已啟用”選項，單擊“確定”按鈕返回，這樣就能禁止來自Web頁面中的內容自動下載存儲到本地硬盤中了。

某 臺Windows Server 2003主機系統中部署了兩個Web站點，這兩個站點同時使用80端口，會不會造成端口上的安全沖突啊？

答：為了避免端口安全沖突，可以將其中一個站點設置成使用80端口，另外一個站點設置使用8080端口。只要進入IIS控制臺窗口，用鼠標右鍵單擊目標站點，執行快捷菜單中的“屬性”命令，在其后界面中將默認的“80”端口設置為“8080”，另外一個站點就不用調整了，直接使用“80”端口。

當然，也可以通過DNS來設置不同的主機頭，也就是別名同時指向一臺主機，這樣可以同時用一個IP地址的相同端口了。

Windows Server 2003系統默認會自動運行IIS服務，但在實際管理Web站點時，經常會發現IIS服務無法自啟動，這在一定程度上會影響Web服務的安全穩定性。請問怎樣避免這種不安全性呢？

答：首先以超級用戶身份登錄進入Web站點所在服務器主機，打開系統運行對話框，輸入“Services.msc”命令并回車，展開系統服務列表界面。用鼠標右鍵單擊“World Wide Web Publishing Service”服務選項，點擊右鍵菜單中的“屬性”命令，進入對應服務屬性設置窗口，單擊“常規”標簽，檢查該標簽頁面中的“World Wide Web Publishing Service”運行狀態是否正常，一旦看到其運行不正常時，只要點擊“啟動”按鈕，將目標系統服務啟用成功，同時將“啟動類型”調整為“自動”，單擊“確定”按鈕保存好上述設置操作即可。

某Web站 點 部 署 在Windows 2008系 統 中，當筆者對其進行管理維護時，經常發現有來自不同網段的客戶機，隨意與Web站點建立遠程桌面連接。事實上，在平時的工作中只有10.192.1.0/255.255.255.0網段的客戶機，才會對Web站點有遠程管理需求。請問有沒有辦法讓Web站點僅接受來自10.192.1.0/255.255.255.0網段客戶機的遠程桌面連接請求，而拒絕其他網段客戶機的連接請求呢？

答：只要善于利用Web站點系統自帶的高級安全防火墻，就能輕松實現上述控制目的。首先啟用系統高級安全防火墻功能。依次單擊“開始”、“設置”、“控制面板”選項，在彈出的系統控制面板窗口中，雙擊Windows防火墻選項，在其后窗口中單擊“啟用或關閉Windows防火墻”鏈接，切換到Windows 2008系統防火墻基本配置窗口，選中“啟用”選項即可。其次對它的入站規則進行合適設置。在Windows防火墻管理界面中，單擊“高級設置”按鈕，切換到高級防火墻設置對話框；在其中的“入站規則”列表中，用鼠標右鍵單擊“遠程桌面”選項，點選右鍵菜單中的“屬性”命令，彈出遠程桌面連接屬性界面。選擇“常規”選項卡，在對應選項設置頁面中，將“常規”位置處的“已啟用”選中，再將“操作”處的“只允許安全連接”選中。接著選擇“作用域”選項卡，在對應選項設置頁面的“遠程IP地址”文本框中，輸入合適的IP地址即可，比方說，要是我們希望只允許10.192.1.0網段的客戶機與服務器系統建立遠程桌面連接時，那只要在這里輸入10.192.1.0/255.255.255.0”，再單擊“確定”按鈕保存設置即可。

在局域網環境中，終端計算機的隨意性和復雜性很強，由終端計算機自身安全漏洞引起的病毒木馬攻擊，給Web訪問的安全帶來了很大的威脅，請問如何才能有效降低這種安全威脅？

答：很簡單！只要及時為終端計算機和Web服務器安裝更新漏洞補丁，修補系統薄弱環節，切斷病毒木馬攻擊通道即可。因為及時升級漏洞補丁，非法攻擊通道就會被自動切斷，那么病毒木馬就不能通過專業的漏洞掃描工具，獲得被攻擊目標的系統漏洞，那么它們就無法沿著漏洞通道進行非法攻擊。因為及時升級漏洞補丁，可以將Web網站的所有漏洞全部堵上，那么黑客或木馬程序就無法通過Web漏洞，對Web站點執行跨站腳本攻擊，或者進行SQL注入，或進行網站掛馬，或進行CGI攻擊。因為及時升級漏洞補丁，狙擊波、震蕩波、沖擊波之類的流行病毒，就無法通過系統漏洞，將漏洞代碼發送給終端或Web服務器，強制其產生緩沖區溢出，并執行病毒代碼內容，進行惡意傳播擴散了。此外，及時升級系統補丁，也能改善系統與程序、程序與程序之間的相互兼容性，提升系統或程序的運行穩定性。