Web安全專題問答

Web服務(wù)器作用相當(dāng)突出，如果允許別人自由執(zhí)行關(guān)機操作的話，一定會影響整個網(wǎng)絡(luò)用戶的正常工作。為了不讓別人自由關(guān)閉Web服務(wù)器，請問如何讓系統(tǒng)“開始”菜單中的關(guān)機命令隱藏起來？

答：打開系統(tǒng)組策略控制臺窗口，將鼠標(biāo)定位到“本地計算機策略”、“用戶配置”、“管理模板”、“開始菜單和任務(wù)欄”分支上，打開“刪除并阻止訪問‘關(guān)機’、‘重新啟動’、‘睡眠’和‘休眠’命令”組策略屬性對話框，選中“已啟用”選項，單擊“確定”按鈕后關(guān)閉設(shè)置對話框即可。

有的用戶會通過Web訪問方式，遠程管理網(wǎng)絡(luò)打印機，可是該訪問方式容易被非法用戶利用，從而威脅到計算機系統(tǒng)運行安全，請問如何禁止普通用戶啟用這項功能？

答：在網(wǎng)絡(luò)打印機所在計算機系統(tǒng)中，逐一選擇“開始”、“運行”選項，彈出系統(tǒng)運行對話框，輸入“regedit”命令并回車，開啟注冊表編輯器運行狀態(tài)。依次跳轉(zhuǎn)到“HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft” 注冊表節(jié)點上，用鼠標(biāo)右擊“Microsoft”選項，從彈出右鍵菜單中逐一單擊“新建”、“項”命令，創(chuàng)建好“Windows NT”子項。

同 樣 地，在“Windows NT”子項下面手工創(chuàng)建好“Printers” 項， 并 在該子項右側(cè)區(qū)域創(chuàng)建好“DisableWebPrinting”雙字節(jié)值，同時將它的數(shù)值調(diào)整為“1”，最后刷新系統(tǒng)注冊表，就能禁止普通用戶啟用網(wǎng)絡(luò)打印機的Web打印與管理功能了。

一些黑客之所以能夠輕松進入Web站點的后臺系統(tǒng)，主要是這類Web站點使用了默認的登錄賬號和密碼，站點后臺路徑使用的也是“/admin/login.asp”之類的域名，這些信息很容易被黑客猜測到。請問如何才能防止黑客通過默認設(shè)置對Web站點發(fā)動惡意攻擊呢？

答：首先不要使用“admin”之類的默認管理賬號，一定要將這類管理賬號名稱修改為十分復(fù)雜的名稱，同時也要將對應(yīng)賬號的密碼設(shè)置得足夠健壯，以避免被黑客輕易破解成功。其次要善于將網(wǎng)站后臺路徑隱藏起來，例如將“l(fā)ogin.asp”等重要文件，隱藏到不容易被人猜測出來的較深層次目錄中，而且還要將重要文件名稱修改一下，以防止黑客依照網(wǎng)站模板系統(tǒng)輕易找到后臺入口。

為了保證Web服務(wù)器的訪問安全性和穩(wěn)定性，請問怎樣對IIS站點的同時訪問人數(shù)進行限制？

答：打開IIS平臺管理窗口，找到特定Web服務(wù)器站點名稱，用鼠標(biāo)右鍵單擊之，選擇快捷菜單中的“屬性”命令，切換到Web站點屬性設(shè)置框。點擊“性能”選項卡，在對應(yīng)標(biāo)簽頁面的“網(wǎng)站連接”位置處，選中“連接限制為”選項，同時在對應(yīng)選項旁邊的文本框中，輸入合適的同時在線人數(shù)，比方說輸入“50”，確認后保存設(shè)置操作。重新啟動服務(wù)器系統(tǒng)，這樣基于IIS平臺的Web站點日后就只能允許50個用戶同時在線訪問了，當(dāng)在線訪問的人數(shù)超過該數(shù)值時，后續(xù)用戶的訪問請求將會被服務(wù)器強行拒絕。

Web服務(wù)器要想安全運行，一定要經(jīng)過合適配置，一旦配置丟失或損壞，它就無法安全對外服務(wù)了。為了保護Web服務(wù)器配置信息的安全，我們應(yīng)該怎樣快速備份Web服務(wù)器的配置信息？

答：使 用IIS Export Utility工具，可以快速備份IIS服務(wù)器中Web站點的配置信息，它適用于IIS4、IIS5、IIS6等不同版本。在使用該工具備份Web站點配置時，先從網(wǎng)上下載安裝好IIS Export Utility工具，啟動運行它，在主操作界面“Import from”位置處，選擇“An IIS Server”標(biāo)簽，在對應(yīng)設(shè)置區(qū)域處輸入Web服務(wù)器主機名稱或IP地址，同時設(shè)置好IIS站點版本類型，例如選擇IIS4、IIS5或 IIS6，從“Type of site”位置處選中站點類型，正常應(yīng)該選“WWW”，點擊“Lists Sites”按鈕，從列表框中選擇需要備份的特定站點名稱，在這里可以選中多個站點同時備份。

接著在“Export to”位置處選“Database”標(biāo)簽，在對應(yīng)標(biāo)簽設(shè)置區(qū)域選IIS版本類型，這里的設(shè)置一定要和之前的設(shè)置相同。之后，進入“Another IIS Server”選項設(shè)置頁面，在這里輸入新站點名稱，也可以使用原始站點名稱，再選中“Create as new webs”選項，同時選中有效IIS版本號，最后單擊“Export”按鈕，結(jié)束IIS指定Web站點配置信息的備份任務(wù)。

日后需要還原Web站點配置信息時，只要打開對應(yīng)程序主操作界面，選擇“Import from”位置處的“Database”標(biāo)簽，在“Type of site”框選擇“WWW”選項，點擊“List Sites”按鈕，從“Available Sites”位置處導(dǎo)入之前的備份文件。接著在“Export Server”設(shè)置項處輸入本地計算機名稱，并選中“Overwrite existing webs”選項，最后點擊“Export”按鈕，結(jié)束Web站點的配置還原操作。

現(xiàn)在很多Web服務(wù)器都有目錄遍歷漏洞，黑客通過該漏洞，能在Web站點所有目錄中自由跳轉(zhuǎn)訪問，從而尋找獲取conn.asp之類的重要文件，以竊取Web服務(wù)器數(shù)據(jù)庫的隱私內(nèi)容。為了防范Web服務(wù)器安全，請問如何預(yù)防目錄遍歷漏洞攻擊？

答：首先為Web服務(wù)器主目錄進行合適授權(quán)，為普通用戶授予的訪問權(quán)限越低越好。在進行該操作時，先打開系統(tǒng)資源管理器窗口，找到指定Web站點主目錄文件夾，打開它的右鍵菜單，點擊“屬性”命令，彈出主目錄屬性設(shè)置框，刪除“everyone”帳號對服Web務(wù)器所有分區(qū)的訪問權(quán)限。

其 次 為“I U S R_SERVERNAME”賬號分配“讀取”、“寫入”、“列出文件夾目錄”等權(quán)限，但一定要取消“完全控制”、“讀取和運行”等權(quán)限。

第三對于那些不需要利用Web方式寫入內(nèi)容的文件夾，只需要為“IUSR_SERVERNAME”賬號授予“列出文件夾目錄”、“讀取”等權(quán)限即可。同樣地，為其他合法可信的用戶授予恰當(dāng)?shù)脑L問權(quán)限。此外，還應(yīng)限制用戶將提交的參數(shù)作為文件名使用，特別是要仔細檢查那些存在“..”、“../”、“/”等關(guān)鍵字符的目錄路徑。

很多黑客常常會先通過竊取Web服務(wù)器主目錄訪問權(quán)限，來悄悄修改Web站點頁面內(nèi)容。為了不讓黑客輕易修改Web站點主頁面內(nèi)容，請問如何控制Web網(wǎng)站的主目錄訪問權(quán)限？

答：首先打開Web服務(wù)器所在主機系統(tǒng)的IIS控制臺窗口，展開本地主機分支下的特定Web網(wǎng)站，打開它的右鍵菜單，點擊“屬性”命令，切換到特定站點的屬性對話框，選擇“目錄安全性”標(biāo)簽，在對應(yīng)標(biāo)簽頁面的“匿名訪問和身份驗證控制”設(shè)置項處，點擊“編輯”按鈕，進入驗證控制設(shè)置對話框，在這里刪除所有用戶賬號，再將合法可信用戶賬號導(dǎo)入進來，這樣可以禁止黑客通過匿名方式訪問Web站點。

之后正確設(shè)置Web服務(wù)器的程序映射功能，阻止黑客隨意進行程序映射操作。一般來說，只要讓W(xué)eb服務(wù)器允許.NET程序映射就足夠了，將其他用不到的程序映射依次刪除，謹防它們被黑客悄悄使用。要做到這一點，可以在特定Web站點的屬性對話框中，選擇“主目錄”標(biāo)簽，在其后出現(xiàn)的標(biāo)簽頁面中，單擊“應(yīng)用程序設(shè)置”設(shè)置項處的“配置”按鈕，切換到應(yīng)用程序映射對話框，從中選擇與ASPX關(guān)聯(lián)的功能選項，如果不能找到對應(yīng)功能選項時，那就說明Web服務(wù)器所在的IIS系統(tǒng)控件還不能支持.NET功能，此時可以嘗試將IIS系統(tǒng)版本升級到最新版本。

為了提高管理效率，網(wǎng)管員經(jīng)常會用遠程桌面連接程序，對Web服務(wù)器進行遠程控制。而遠程控制會用到默認的3389端口，為了防止惡意用戶趁機利用該端口，對Web服務(wù)器發(fā)動惡意攻擊，請問如何將該端口修改成陌生號碼？

答：很簡單！在Web服務(wù)器所在主機系統(tǒng)中，打開系統(tǒng)注冊表編輯窗口，將鼠標(biāo)定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWds dpwdTds cp注冊表分支上，雙擊目標(biāo)分支下的PortNumber鍵值，在彈出的編輯鍵值對話框中，輸入新的端口號碼，比方說輸入“8564”，確認后保存設(shè)置操作。之后，將鼠標(biāo)定位 到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp注 冊表分支上，雙擊目標(biāo)分支下的PortNumber鍵值，在彈出的編輯鍵值對話框中，也輸入“8564”，確認后保存設(shè)置操作，最后重新啟動計算機系統(tǒng)即可。

有的用戶在訪問某個Web站點時，沒有看到對應(yīng)站點的主頁面內(nèi)容，而是看到了身份驗證對話框，不知道這是怎么回事，請問如何取消登錄驗證對話框？

答：這很可能是特定Web站點在安全登錄方面沒有配置正確。此時可以打開服務(wù)器主機的IIS主控臺窗口，從該窗口的左側(cè)列表區(qū)域，找到特定Web站點名稱，打開它的右鍵菜單，選擇“屬性”命令，切換到Web站點屬性設(shè)置框，單擊“目錄安全性”標(biāo)簽，打開目錄安全性標(biāo)簽頁面。單擊“身份驗證和訪問控制”位置處的“編輯”按鈕，展開身份驗證和訪問控制設(shè)置界面，檢查這里的“匿名訪問”、“集成Windows驗證”等選項是否處于選中狀態(tài)，如果發(fā)現(xiàn)它們已被選中，不妨嘗試取消它們的選中狀態(tài)進行測試，相信這樣操作就能取消登錄驗證對話框。

筆者在單位局域網(wǎng)部署了一個Web站點，域名解析一切正常，只是本地網(wǎng)絡(luò)運行商因為安全因素關(guān)閉了80端口。所以，筆者在訪問自己部署的Web網(wǎng)站時，只能用帶端口的域名進行訪問，例如使用“www.xxx.com:8080”，嘗 試 直 接 用“www.xxx.com”域名訪問不了。想問一下，如何才能成功使用“www.xxx.com”域名進行Web訪問，是不是一定要讓本地運營商開通80服務(wù)端口啊？

答：這個一定要本地網(wǎng)絡(luò)運行商給開通80端口，才能使用“www.xxx.com”域名訪問，否則必須要在域名上加端口才行。

在對Web站點中的SQL服務(wù)器數(shù)據(jù)庫執(zhí)行語句查詢操作時，有時容易發(fā)生不安全穩(wěn)定現(xiàn)象，請問如何有效避免這種現(xiàn)象？

答：遇到這類現(xiàn)象時，首先應(yīng)該從SQL語句和數(shù)據(jù)表的結(jié)構(gòu)上尋找故障原因，優(yōu)化SQL語句和為數(shù)據(jù)庫的查詢字段建索引是最常用的辦法。此外，數(shù)據(jù)庫的查詢超時設(shè)置一般是SQL Server自己維護的，只有當(dāng)用戶的實際查詢時間超過估計查詢時間的25倍時，才會超時。而引起超出估計值那么多的原因有兩種可能：一是估計時間不準(zhǔn)確；二是SQL語句涉及到大量占用內(nèi)存的查詢，比方說排序和哈希操作，內(nèi)存不夠，需要排隊等待資源造成的。要解決上面的問題，可以優(yōu)化語句，創(chuàng)建使用合適的索引。第二增加服務(wù)器系統(tǒng)內(nèi)存資源。第三更新要查詢表的索引分發(fā)統(tǒng)計，保證估計時間的正確性。

在Windows Server 2003系統(tǒng)環(huán)境下，如果服務(wù)器系統(tǒng)的授權(quán)模式設(shè)置不正確，也容易引起Web訪問的安全事故。請問如何檢查Web服務(wù)器系統(tǒng)的授權(quán)模式配置？

答：先以系統(tǒng)管理員權(quán)限登錄Web服務(wù)器系統(tǒng)，依次單擊“開始”、“設(shè)置”、“控制面板”選項，打開系統(tǒng)控制面板窗口，雙擊其中的“授權(quán)”圖標(biāo)，切換到授權(quán)模式配置對話框，檢查特定Web站點當(dāng)前使用的授權(quán)模式是“每服務(wù)器”，還是“每設(shè)備或用戶”，如果改變授權(quán)模式配置后，Web訪問失敗故障現(xiàn)象自動消失，那就表示之前的Web訪問故障，真的與Web服務(wù)器系統(tǒng)授權(quán)模式配置有關(guān)。

請問如何防止黑客對Web站點系統(tǒng)進行注入攻擊？

答：大家知道，當(dāng)Web站點系統(tǒng)自身存在注入漏洞時，那么黑客就能利用啊D之類的注入檢測工具，來猜測Web站點數(shù)據(jù)庫以及相關(guān)隱私信息，并利用這些信息猜測數(shù)據(jù)庫后臺登錄地址，導(dǎo)致Web站點系統(tǒng)最后被攻陷。

要想防止黑客對Web站點系統(tǒng)進行注入攻擊，最有效的辦法就是通過防注入程序，對一些特殊的命令或字符進行過濾，比方說拒絕提交“insert”、“select”、“and”、“or”等關(guān)鍵字，并將它們定義為非法字符。

現(xiàn)在有些Web站點是架設(shè)在Windows 2008系統(tǒng)中的，善于借助該系統(tǒng)的遠程服務(wù)網(wǎng)關(guān)功能，管理員能通過HTTPS方式安全穩(wěn)定地建立與Web站點的遠程連接。請問在該系統(tǒng)中，為什么用遠程服務(wù)網(wǎng)關(guān)功能，比用傳統(tǒng)的遠程桌面連接或VPN連接方式，遠程管理Web站點更安全呢？

答：大家知道，通過遠程桌面連接方式遠程管理Web站點時，需要開放Web服務(wù)器的TCP端口3389，而直接向Internet網(wǎng)絡(luò)開放TCP 3389端口，容易遭來安全威脅。而使用VPN連接方式遠程管理Web站點時，雖然連接性能比較安全，同時遠程管理更加靈活，但有時候?qū)嵤┢饋聿⒉惶奖悖吘共簧俟睮nternet無線上網(wǎng)節(jié)點并沒有開啟PPTP或L2TP通信端口，同時有的公共網(wǎng)絡(luò)也不能正常初始化VPN連接。

相比之前的兩種遠程連接方式，Web站點所在服務(wù)器系統(tǒng)的遠程服務(wù)網(wǎng)關(guān)功能，既安全又通用，該功能將RDP封裝在HTTPS中，管理員能利用HTTPS的端口TCP 443端口與遠程服務(wù)網(wǎng)關(guān)服務(wù)器建立連接，遠程服務(wù)網(wǎng)關(guān)對普通計算機系統(tǒng)進行身份驗證，從HTTPS中解壓RDP，之后在TCP 3389端口上將連接轉(zhuǎn)發(fā)給目標(biāo)資源。借助遠程服務(wù)網(wǎng)關(guān)，普通計算機系統(tǒng)只需要訪問TCP 443端口，就能與Web站點建立一個安全的RDP會話。此外，善于利用遠程服務(wù)網(wǎng)關(guān)的身份驗證功能，可以有效提升Web站點遠程管理的穩(wěn)定性和安全性。

在使用IE瀏覽器訪問Web頁面內(nèi)容時，一些潛藏在Web頁面背后的病毒、木馬程序，可能會自動下載到本地硬盤，日后這些惡意內(nèi)容可能會威脅本地計算機的運行安全。請問如何禁止Web頁面中的內(nèi)容自動下載存儲到本地硬盤中？

答：首先使用“Win+R”快捷鍵，調(diào)用系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“安 全功能”、“限制文件下載”分支上。雙擊該分支下的“Internet Explorer進程”組策略，打開“Internet Explorer進程”屬性對話框，選中“已啟用”選項，單擊“確定”按鈕返回，這樣就能禁止來自Web頁面中的內(nèi)容自動下載存儲到本地硬盤中了。

某 臺Windows Server 2003主機系統(tǒng)中部署了兩個Web站點，這兩個站點同時使用80端口，會不會造成端口上的安全沖突??？

答：為了避免端口安全沖突，可以將其中一個站點設(shè)置成使用80端口，另外一個站點設(shè)置使用8080端口。只要進入IIS控制臺窗口，用鼠標(biāo)右鍵單擊目標(biāo)站點，執(zhí)行快捷菜單中的“屬性”命令，在其后界面中將默認的“80”端口設(shè)置為“8080”，另外一個站點就不用調(diào)整了，直接使用“80”端口。

當(dāng)然，也可以通過DNS來設(shè)置不同的主機頭，也就是別名同時指向一臺主機，這樣可以同時用一個IP地址的相同端口了。

Windows Server 2003系統(tǒng)默認會自動運行IIS服務(wù)，但在實際管理Web站點時，經(jīng)常會發(fā)現(xiàn)IIS服務(wù)無法自啟動，這在一定程度上會影響Web服務(wù)的安全穩(wěn)定性。請問怎樣避免這種不安全性呢？

答：首先以超級用戶身份登錄進入Web站點所在服務(wù)器主機，打開系統(tǒng)運行對話框，輸入“Services.msc”命令并回車，展開系統(tǒng)服務(wù)列表界面。用鼠標(biāo)右鍵單擊“World Wide Web Publishing Service”服務(wù)選項，點擊右鍵菜單中的“屬性”命令，進入對應(yīng)服務(wù)屬性設(shè)置窗口，單擊“常規(guī)”標(biāo)簽，檢查該標(biāo)簽頁面中的“World Wide Web Publishing Service”運行狀態(tài)是否正常，一旦看到其運行不正常時，只要點擊“啟動”按鈕，將目標(biāo)系統(tǒng)服務(wù)啟用成功，同時將“啟動類型”調(diào)整為“自動”，單擊“確定”按鈕保存好上述設(shè)置操作即可。

某Web站 點 部 署 在Windows 2008系 統(tǒng) 中，當(dāng)筆者對其進行管理維護時，經(jīng)常發(fā)現(xiàn)有來自不同網(wǎng)段的客戶機，隨意與Web站點建立遠程桌面連接。事實上，在平時的工作中只有10.192.1.0/255.255.255.0網(wǎng)段的客戶機，才會對Web站點有遠程管理需求。請問有沒有辦法讓W(xué)eb站點僅接受來自10.192.1.0/255.255.255.0網(wǎng)段客戶機的遠程桌面連接請求，而拒絕其他網(wǎng)段客戶機的連接請求呢？

答：只要善于利用Web站點系統(tǒng)自帶的高級安全防火墻，就能輕松實現(xiàn)上述控制目的。首先啟用系統(tǒng)高級安全防火墻功能。依次單擊“開始”、“設(shè)置”、“控制面板”選項，在彈出的系統(tǒng)控制面板窗口中，雙擊Windows防火墻選項，在其后窗口中單擊“啟用或關(guān)閉Windows防火墻”鏈接，切換到Windows 2008系統(tǒng)防火墻基本配置窗口，選中“啟用”選項即可。其次對它的入站規(guī)則進行合適設(shè)置。在Windows防火墻管理界面中，單擊“高級設(shè)置”按鈕，切換到高級防火墻設(shè)置對話框；在其中的“入站規(guī)則”列表中，用鼠標(biāo)右鍵單擊“遠程桌面”選項，點選右鍵菜單中的“屬性”命令，彈出遠程桌面連接屬性界面。選擇“常規(guī)”選項卡，在對應(yīng)選項設(shè)置頁面中，將“常規(guī)”位置處的“已啟用”選中，再將“操作”處的“只允許安全連接”選中。接著選擇“作用域”選項卡，在對應(yīng)選項設(shè)置頁面的“遠程IP地址”文本框中，輸入合適的IP地址即可，比方說，要是我們希望只允許10.192.1.0網(wǎng)段的客戶機與服務(wù)器系統(tǒng)建立遠程桌面連接時，那只要在這里輸入10.192.1.0/255.255.255.0”，再單擊“確定”按鈕保存設(shè)置即可。

在局域網(wǎng)環(huán)境中，終端計算機的隨意性和復(fù)雜性很強，由終端計算機自身安全漏洞引起的病毒木馬攻擊，給Web訪問的安全帶來了很大的威脅，請問如何才能有效降低這種安全威脅？

答：很簡單！只要及時為終端計算機和Web服務(wù)器安裝更新漏洞補丁，修補系統(tǒng)薄弱環(huán)節(jié)，切斷病毒木馬攻擊通道即可。因為及時升級漏洞補丁，非法攻擊通道就會被自動切斷，那么病毒木馬就不能通過專業(yè)的漏洞掃描工具，獲得被攻擊目標(biāo)的系統(tǒng)漏洞，那么它們就無法沿著漏洞通道進行非法攻擊。因為及時升級漏洞補丁，可以將Web網(wǎng)站的所有漏洞全部堵上，那么黑客或木馬程序就無法通過Web漏洞，對Web站點執(zhí)行跨站腳本攻擊，或者進行SQL注入，或進行網(wǎng)站掛馬，或進行CGI攻擊。因為及時升級漏洞補丁，狙擊波、震蕩波、沖擊波之類的流行病毒，就無法通過系統(tǒng)漏洞，將漏洞代碼發(fā)送給終端或Web服務(wù)器，強制其產(chǎn)生緩沖區(qū)溢出，并執(zhí)行病毒代碼內(nèi)容，進行惡意傳播擴散了。此外，及時升級系統(tǒng)補丁，也能改善系統(tǒng)與程序、程序與程序之間的相互兼容性，提升系統(tǒng)或程序的運行穩(wěn)定性。