比較簡單實用的WEB安全設定總結

伺服器方面

1、首先是要ntfs格式，並減少us之類使用者的許可權，fat32格式的磁碟沒有許可權設定，也就沒有安全可言；

2、其次是補丁要全，否則伺服器中了木馬，那什麼都是白搭；

3、接著是禁用危險的組建和服務huhwkermn項，這個比較難，如果是簡單的應用還好說，如果伺服器裡跑著比較糾結的程式，很可能就會因為禁止了某些元件或服務導致無法執行，我對這個是比較頭huhwkermn痛的，所以做安全還是有必要知道應用所涉及到的許可權以及其他方面；

4、埠遮蔽，比如普通的web伺服器開個21和80以及3389就夠了；

5、加密傳輸，這個防止嗅探的，不過win好像沒自帶；

6、密碼安全、桌面鎖定軟體、命令函式更名等其他小的設定，就和安全意識有關了，作用不會太大，但是比沒有要好。

iis安全

1、執行許可權這個很重要，不同的站點用不同的匿名使用者訪問，但是這些使用者不能給許可權，連組都不用加，而且這寫單獨訪客的許可權只在對應的web目錄有效，其他盤都無效，everyone之類的大許可權統統刪掉…而且大部分目錄不給寫入權，使用者許可權是web安全最重要的一塊；

2、取消掉沒用的api擴充套件，搞黑的都知道asp傳不了就用asa或者cer格式的木馬，安全也一樣，沒用的api擴充套件統統去掉，比如asp的站點只留乙個.asp的，其他擴充套件刪掉，你傳了後門也沒用；

3、取消不必要的web擴充套件，擴充套件多了漏洞也就多，能少用還是少用吧。

許可權類

1、站點單獨使用者權，防止跨站，iis那說過了，其實這個可以再iis設定，也可以再硬碟設定，本質都一樣，就是ntfs格式的許可權設定，而且許可權最多給到讀取寫入，不可能再多了；

2、目錄與檔案的許可權設定，目錄這樣的，給個讀取權就可以了，而且指令碼都可以禁掉，沒哪個是可執行的吧… 檔案也一樣，html的目錄和檔案，指令碼權可以禁掉，普通頁面給個讀取權就可以了，寫入權這玩意很危險，能少給就少給，但是弄錯了**會崩；

3、特殊目錄的許可權，像d盤e盤這樣的，刪了everyone就連子目錄的也一併刪了，但是例如system這樣的目錄，沒有繼承權，你刪了c盤的某使用者，很多子目錄裡還是有的，要乙個乙個刪，否則就會出現像入侵時候遇到的情況：c盤無法訪問，但是使用者資料夾和windows目錄可以訪問。

**安全

1、**防注入，這個是最多的安全問題，有了資料庫就有了注入，防禦辦法很多，繞過防禦的辦法也很多，很難一概而論，總之還是靠程式設計師的安全意識與**功底；

2、上傳漏洞的防止，除了注入上傳也是個大戶，很多入侵依賴上傳，解決方案是：減少上傳數量，提高驗證強度，驗證的時候要固定字尾、型別，而不是排除，上傳的檔案隨即命名，自動修改字尾，上傳目錄不給任何許可權！

3、檔案命名規則，一些測試檔案和敏感檔案，名稱和目錄一定不能讓人猜解，或者加入驗證，猜解到程式設計客棧了檔案也進不去；

4、第三方**，這個要少用，尤其是小團隊寫的，discuz這麼牛x的**都一直爆漏洞，別說其他**了，原因是這些**都是公開的，可以從源**裡找漏洞，很危險的；

5、其他一些例如防社會工程學漏洞、防爆路徑，就比較難說清了，還是安全意識的問題。

本文標題: 比較簡單實用的web安全設定總結

本文位址: /jiqiao/fuwuqi/85238.html