如何讓Web服務器遠離腳本攻擊

發(fā)表日期：2014-09-19 文章編輯：瀏覽次數：77 標簽：

　不少Web服務器都是架設在Windows 2003服務器系統(tǒng)環(huán)境中的，但是在默認狀態(tài)下該服務器系統(tǒng)存在不少安全漏洞，許多黑客或者非法攻擊者往往會充分利用這些漏洞，來攻擊架設在該系統(tǒng)中的Web網站。為了提高Web服務器的運行安全性，我們有必要及時采取措施，防范Web服務器中的各式腳本攻擊；下面，本文就為各位貢獻幾則讓Web服務器遠離腳本攻擊的設置巧招，希望這些內容能幫助各位安全維護好服務器系統(tǒng)！

　　從訪問權限下手，防范腳本攻擊

　　網站訪問者在訪問Web服務器中的內容時，一般是通過“IUSR_SERVERNAME”用戶帳號實現訪問操作的，普通訪問者對Web服務器所能執(zhí)行的權限，就是由“IUSR_SERVERNAME”用戶帳號的權限來決定的。默認狀態(tài)下，“IUSR_SERVERNAME”用戶帳號是Windows 2003服務器系統(tǒng)在創(chuàng)建IIS的過程中自動創(chuàng)建的，該用戶帳號常常是為那些不需要進行身份驗證就能輕松訪問網站數據庫內容的匿名用戶自動開設的。為了防止這些普通的匿名用戶隨意執(zhí)行Web服務器中的腳本程序，導致服務器存在各種安全隱患，我們有必要對“IUSR_SERVERNAME”用戶帳號的權限進行一些合適的設置，下面就是具體的訪問權限設置步驟：

　　首先以超級管理員權限帳號登錄進Windows 2003服務器系統(tǒng)中，在該系統(tǒng)桌面中依次單擊“開始”/“程序”/“附件”/“Windows資源管理器”命令，在彈出的系統(tǒng)資源管理器窗口中，找到Web服務器主目錄所在的文件夾，并用鼠標右鍵單擊主目錄圖標，從彈出的右鍵菜單中執(zhí)行“屬性”命令，打開網站主目錄的屬性設置窗口，在該窗口中我們需要將“everyone”帳號對服務器系統(tǒng)中的所有磁盤分區(qū)訪問權限刪除掉，以防止任意一位普通用戶可能對服務器帶來潛在的安全攻擊。

　　考慮到“everyone”帳號是任意一個用戶或組權限設置的父對象，因此在將“everyone”帳號的訪問權限刪除掉之前，我們必須先將子對象對父對象權限繼承關系刪除掉；在刪除這種權限繼承關系時，我們可以單擊網站主目錄屬性設置窗口中的“安全”標簽，打開如圖1所示的安全標簽頁面，單擊該標簽頁面中的“高級”按鈕，進入到主目錄的高級安全設置窗口，檢查一下該設置窗口中的“允許父項的繼承權限傳播到該對象和所有子對象。包括那些在此明確定義的項目”項目是否處于選中狀態(tài)，要是發(fā)現該選項已經選中的話，我們必須及時將它的選中狀態(tài)取消，隨后系統(tǒng)會自動彈出如圖2所示的提示窗口，詢問我們是否將父對象的訪問權限拷貝給子對象，此時我們可以單擊“復制”按鈕，這樣的話我們日后就不需要對管理員用戶的權限進行重新設置了。

圖1

　　接下來我們就能對“IUSR_SERVERNAME”用戶帳號權限進行有針對性設置了。在設置“IUSR_SERVERNAME”用戶帳號權限時，我們先從圖1所示的“組或用戶名稱”列表框中選中“IUSR_SERVERNAME”用戶帳號，然后在對應該帳號下面的權限列表框中將“列出文件夾目錄”、“寫入”、“讀取”等權限全部設置為“允許”，而不要將“完全控制”、“讀取和運行”等權限設置為允許；此外，對于那些不需要通過Web進行寫入操作的文件夾，我們只需要將“列出文件夾目錄”、“讀取”等權限賦予給“IUSR_SERVERNAME”用戶帳號就可以了。到了這里，作為網站普通訪問者的“IUSR_SERVERNAME”用戶帳號就沒有執(zhí)行腳本的權利，那么這些普通來賓用戶自然就無法對Web服務器進行各種形式的腳本攻擊了，這樣的話Web服務器的安全性就能在一定程度上得到保證了。

圖2

　　從腳本權限下手，防范腳本攻擊

　　從網站存放文件的類型來看，保存在Web服務器中的文件類型主要分為兩大類，一類就是各種形式的腳本文件，另外一類就是非腳本文件，這包括普通的網頁文件、數據庫文件以及各種格式的圖象文件等。所以，為了保護Web服務器的安全，我們有必要對不同類型文件的執(zhí)行權限進行有針對性地設置，確保Web服務器中的各種腳本文件能夠被安全、穩(wěn)定地執(zhí)行，而避免非腳本文件被隨意執(zhí)行。

　　在設置腳本文件的執(zhí)行權限時，我們可以先依次單擊“開始”/“程序”/“管理工具”/“Internet信息服務管理器”命令，在彈出的IIS控制臺窗口中，找到存放各類腳本文件的指定文件夾，并用鼠標右鍵該文件夾所對應的圖標，從隨后彈出的快捷菜單中執(zhí)行“屬性”命令，打開對應文件夾的屬性設置窗口。

圖3

　　單擊該設置窗口中的“目錄”標簽，打開如圖3所示的標簽頁面，在該頁面的“應用程序設置”處，單擊“執(zhí)行權限:”右側的下拉按鈕，從隨后彈出的下拉列表中選中“純腳本”選項，并單擊“確定”按鈕，那樣的話指定目錄中的腳本文件才能被網站服務器執(zhí)行，而對于那些不屬于腳本類型的文件都不會被執(zhí)行。按照相同的操作方法，我們打開網站中其他目錄的屬性設置界面，并在該界面中將其他目錄的應用程序執(zhí)行權限設置為“無”，那樣一來其他目錄中的腳本或者普通文件都不會被網站服務器系統(tǒng)執(zhí)行的。

　　從站點配置下手，防范腳本攻擊
　

　　一旦按照上面的方法將數據庫文件下面的ASP腳本拒絕執(zhí)行的話，許多人會認為他們將無法繼續(xù)使用ASP腳本執(zhí)行錯誤的方法來避免網站數據庫文件被惡意下載了；事實上，我們只要對目標網站的應用程序配置參數進行合適修改，同樣能夠有效地保護網站數據庫文件被惡意下載。下面，本文就以保護ACCESS類型的數據庫為操作藍本，向各位朋友介紹一下如何從站點配置下手，來保護網站數據庫文件被惡意下載的具體設置操作：

　　首先以超級管理員權限登錄到IIS服務器所在的計算機系統(tǒng)，然后在該系統(tǒng)桌面中依次執(zhí)行“開始”/“程序”/“管理工具”/“Internet信息服務管理器”命令，打開服務器系統(tǒng)的IIS控制臺窗口，并從該窗口的左側列表區(qū)域找到目標網站選項，再用鼠標右鍵單擊該網站選項，從彈出的右鍵菜單中執(zhí)行“屬性”命令，進入到該目標網站的屬性配置窗口.

　　單擊該配置窗口中的“主目錄”標簽，并在對應的標簽頁面中單擊“配置”按鈕，打開如圖4所示的應用程序配置界面；在該配置界面中單擊“添加”按鈕，進入到如圖5所示的添加對話框；在其中的“擴展名”文本框中輸入“.mdb”，在“可執(zhí)行文件”文本框中隨意輸入一個EXE格式的文件，其余參數都使用默認數值，最后單擊“確定”按鈕就能完成相關設置操作了。之后，當我們再次嘗試從IE瀏覽器中訪問目標網站的數據庫文件內容時，IE瀏覽器就會彈出無法找到對應頁面的錯誤提示了，那樣一來目標網站的數據庫就不會受到惡意用戶的非法攻擊了，這樣的話Web服務器的安全性也會得到一定程度的保障！