Опыт обеспечения безопасности сервера: предотвращение несанкционированного входа в систему

1. Настройте безопасность базы данных, например учетную запись/пароль/разрешения, используемые вашей программой для подключения к базе данных. Если вы просматриваете новости, используйте разрешения только для чтения, вы можете использовать разные учетные записи/разрешения для разных модулей; кроме того, то, какие хранимые процедуры базы данных могут быть вызваны, также должно быть строго настроено, а все неиспользуемые из них отключены (особенно cmd), чтобы предотвратить использование хранимых процедур базы данных для совершения системных вызовов после внедрения;

2. При получении параметров, отправленных клиентом, выполнять строгую фильтрацию, включая длину параметра, тип параметра и т. д.;

3. Строго защищать данные администратора. По возможности следует настроить разрешение доступа только к определенному IP (например, разрешить доступ только к сегменту сети администратора) — это зависит от реальной ситуации;

4. Настройте операционную систему безопасно, чтобы предотвратить вызов системных функций после внедрения, таких как

cmd.exe/tftp.exe/ftp.exe/net.exe

Все эти файлы переносятся в другие каталоги, и каталогам назначаются строгие разрешения;

5. Настроить контроль доступа к сети;

6. Если есть возможность, настройте фильтрацию контента по HTTP для фильтрации вирусов, вредоносных скриптов и т.п.;

7. При необходимости вы можете рассмотреть возможность выбора HTTPS, который может предотвратить множество проверок с помощью инструмента внедрения. Когда я сам разрабатывал инструмент обнаружения внедрения, я рассматривал возможность поддержки HTTPS, но он еще не реализован.

Я полагаю, вы также заметили, что в целом программа в основном рассматривает такие вопросы, как разрешения и разрешения на фильтрацию параметров, в основном включают разрешения на просмотр IIS и разрешения на вызов базы данных; Кроме того, необходимо также учитывать конфигурацию безопасности базы данных и операционной системы. Кроме того, мне интересно, будете ли вы использовать в процессе разработки компоненты, разработанные другими, например, для загрузки изображений. Изучали ли вы безопасность таких компонентов или в процессе разработки большинство людей будут использовать их? сделанные коды, представленные в Интернете и в книгах, такие как проверка входа пользователя и т. д., также необходимо изучить.