Поскольку наше предотвращение рассматривается с точки зрения злоумышленника, нам сначала нужно знать, как злоумышленник вторгается. В настоящее время наиболее популярные методы веб-вторжения заключаются в том, чтобы сначала получить веб-оболочку веб-сайта путем поиска уязвимостей программы, а затем найти соответствующие методы, которые можно использовать для повышения привилегий на основе конфигурации сервера, а затем получить разрешения сервера. Таким образом, это эффективный способ взаимодействия с сервером для настройки предотвращения веб-шелла.
1. Предотвратить несанкционированное скачивание базы данных
Следует сказать, что администраторы, обладающие небольшой степенью сетевой безопасности, изменят путь к базе данных по умолчанию для программ веб-сайта, загруженных из Интернета. Конечно, некоторые администраторы очень небрежны. Они достают программу и устанавливают ее прямо на свой сервер, даже не удалив файл описания, не говоря уже о изменении пути к базе данных. Таким образом, хакеры могут напрямую загрузить исходную программу веб-сайта с сайта исходного кода, затем протестировать ее локально, чтобы найти базу данных по умолчанию, а затем загрузить базу данных, чтобы прочитать пользовательскую информацию и данные внутри (обычно зашифрованные MD5), чтобы найти управление. войдите и войдите в систему, чтобы получить веб-оболочку. Другая ситуация заключается в том, что путь к базе данных веб-сайта открыт из-за ошибки программы. Как этого избежать? Мы можем добавить расширенное сопоставление mdb. Как показано ниже:
Откройте IIS и добавьте сопоставление MDB, чтобы mdb можно было проанализировать на другие файлы, которые невозможно загрузить: «Свойства IIS» — «Домашний каталог» — «Конфигурация» — «Сопоставление» — «Расширение приложения» и добавьте файл .mdb. Чтобы применить синтаксический анализ, вы можете самостоятельно выбрать файл, используемый для его анализа, при условии, что файл базы данных недоступен.
Преимущества этого: 1. Файлы базы данных в формате суффикса mdb точно не будут загружены. 2. Это работает для всех файлов mdb на сервере, что очень полезно для администраторов виртуальных хостов;
2. Запретить загрузку
Для приведенной выше конфигурации, если вы используете базу данных MSSQL, при наличии точки внедрения вы все равно можете использовать инструмент внедрения, чтобы угадать базу данных. Если при загрузке файлов вообще нет аутентификации, мы можем напрямую загрузить троян asp, чтобы получить веб-шелл сервера.
Что касается загрузки, мы можем резюмировать ее следующим образом: каталогам, которые могут быть загружены, не предоставляются разрешения на выполнение, а каталогам, которые могут быть выполнены, не предоставляются разрешения на загрузку. Веб-программа запускается пользователем IIS. Нам нужно только предоставить пользователю IIS разрешение на запись в определенный каталог загрузки, а затем удалить разрешение на выполнение сценария из этого каталога, чтобы предотвратить получение злоумышленниками веб-оболочки посредством загрузки. Метод настройки: сначала в веб-каталоге IIS откройте вкладку «Разрешения» и дайте пользователям IIS только права на чтение и список каталогов, затем введите каталог, в котором сохраняются загруженные файлы и хранится база данных, добавьте разрешения на запись для пользователей IIS и, наконец, Просто измените «Чистый сценарий» на «Нет» в опции «Свойства»-«Разрешение на выполнение» этих двух каталогов. Смотрите картинку ниже:
И последнее напоминание: когда вы устанавливаете вышеуказанные разрешения, вы должны обратить внимание на настройку наследования родительского каталога. Избегайте настройки напрасно.
[Вырезанная страница]
3. MSSQL-инъекция
Для защиты базы данных MSSQL мы говорим, что сначала мы должны начать с учетной записи подключения к базе данных. Не используйте учетную запись SA для базы данных. Использование учетной записи SA для подключения к базе данных — это катастрофа для сервера. Вообще говоря, вы можете использовать учетную запись с правами DB_OWNER для подключения к базе данных. Если она может работать нормально, безопаснее всего использовать общедоступного пользователя. После установки разрешения dbo на подключение к базе данных злоумышленник может получить веб-оболочку, только угадав имя пользователя и пароль или дифференциальное резервное копирование. В первом случае мы можем защитить его, зашифровав и изменив адрес входа по умолчанию для фона управления. . Мы знаем, что для дифференциального резервного копирования необходимо иметь разрешения на резервное копирование и знать каталог в Интернете. Поиск веб-каталогов обычно осуществляется путем перемещения по каталогу для поиска или непосредственного чтения реестра. Любой из этих двух методов использует две расширенные хранимые процедуры xp_regread и xp_dirtree. Нам нужно удалить только эти два расширенных хранилища. Конечно, мы также можем удалить соответствующие файлы DLL вместе.
Но если веб-каталог открыт из-за ошибки программы, вы ничего не сможете сделать. Поэтому нам также необходимо снизить разрешения учетной записи и сделать невозможным выполнение операции резервного копирования. Конкретные операции заключаются в следующем: В свойствах этой учетной записи - параметры доступа к базе данных вам нужно только выбрать соответствующую базу данных и предоставить ей разрешения DBO. Не управлять другими базами данных. Затем перейдите к свойствам базы данных и удалите разрешения пользователя на резервное копирование и журнал резервного копирования, чтобы злоумышленники не могли получить веб-оболочку посредством дифференциального резервного копирования.
3. MSSQL-инъекция
Для защиты базы данных MSSQL мы говорим, что сначала мы должны начать с учетной записи подключения к базе данных. Не используйте учетную запись SA для базы данных. Использование учетной записи SA для подключения к базе данных — это катастрофа для сервера. Вообще говоря, вы можете использовать учетную запись с правами DB_OWNER для подключения к базе данных. Если она может работать нормально, безопаснее всего использовать общедоступного пользователя. После установки разрешения dbo на подключение к базе данных злоумышленник может получить веб-оболочку, только угадав имя пользователя и пароль или дифференциальное резервное копирование. В первом случае мы можем защитить его, зашифровав и изменив адрес входа по умолчанию для фона управления. . Мы знаем, что для дифференциального резервного копирования необходимо иметь разрешения на резервное копирование и знать каталог в Интернете. Поиск веб-каталогов обычно осуществляется путем перемещения по каталогу для поиска или непосредственного чтения реестра. Любой из этих двух методов использует две расширенные хранимые процедуры xp_regread и xp_dirtree. Нам нужно удалить только эти два расширенных хранилища. Конечно, мы также можем удалить соответствующие файлы DLL вместе.
Но если веб-каталог открыт из-за ошибки программы, вы ничего не сможете сделать. Поэтому нам также необходимо снизить разрешения учетной записи и сделать невозможным выполнение операции резервного копирования. Конкретные операции заключаются в следующем: В свойствах этой учетной записи - параметры доступа к базе данных вам нужно только выбрать соответствующую базу данных и предоставить ей разрешения DBO. Не управлять другими базами данных. Затем перейдите к свойствам базы данных и удалите разрешения пользователя на резервное копирование и журнал резервного копирования, чтобы злоумышленники не могли получить веб-оболочку посредством дифференциального резервного копирования.
