ASP系統(tǒng)在互聯(lián)網(wǎng)上廣泛的應(yīng)用，針對(duì)ASP系統(tǒng)的腳本攻擊最近鬧得是紅紅火火。黑客們的眼睛也都盯上了這類的系統(tǒng)，那么下面我就來講講怎樣來防御基于WEB的各種攻擊。

1.安裝補(bǔ)丁

安裝好操作系統(tǒng)之后，首先要做的就是要安裝系統(tǒng)的各種補(bǔ)丁程序，配置好網(wǎng)絡(luò)之后，如果是WIN 2000的操作系統(tǒng)就裝上SP4，WIN 2003就安裝好SP1，然后點(diǎn)擊WINDOWS UPDATE，安裝好所有關(guān)鍵的更新。

2.安裝殺毒軟件

殺毒軟件我現(xiàn)在主要推薦使用兩款：卡巴斯基和瑞星。這兩款殺毒軟件我做過N多測試，結(jié)果表明卡巴斯基的殺查能力要強(qiáng)過瑞星，很多做過免殺的木馬過得了瑞星但是確逃不過卡巴斯基的法眼，當(dāng)然卡巴斯基也不是百分百所有病毒都能查殺，一些木馬程序也是能做出過卡巴斯基的免殺。只不過卡巴斯基在所有殺毒軟件當(dāng)中查殺能力還算是不錯(cuò)的。

3.設(shè)置端口的安全保護(hù)功能

端口保護(hù)的方式有兩種，一種是TCP/IP篩選里面進(jìn)行端口設(shè)置，另外一種系統(tǒng)自帶的防火墻（我以WINDOWS 2003操作系統(tǒng)為準(zhǔn)，現(xiàn)在大部分的網(wǎng)站都使用的是WINDOWS 2003操作系統(tǒng)。）

4.TCP/IP篩選的端口設(shè)置方式

在“網(wǎng)上鄰居”上選右鍵點(diǎn)開“屬性”，然后在“本地連接”上右鍵點(diǎn)開“屬性”，選擇“Internet協(xié)議（TCP/IP）”點(diǎn)“屬性”，然后在彈出的“Internet協(xié)議（TCP/IP）屬性”框里選擇“高級(jí)”，然后在“高級(jí)TCP/IP設(shè)置”框里選擇“選項(xiàng)”，然后選擇“TCP/IP篩選”后點(diǎn)擊“屬性”，然后在彈出的“TCP/IP篩選”的框里勾上“啟用TCP/IP篩選（所有適配器）”，選擇只允許，然后點(diǎn)擊添加你所需要開放的端口。

5.自帶防火墻的端口設(shè)置

通過WINDOWS 2003操作系統(tǒng)自帶的防火墻來進(jìn)行端口設(shè)置比較靈活，不用重新啟動(dòng)服務(wù)器。開始設(shè)置，在“網(wǎng)上鄰居”上選右鍵點(diǎn)開“屬性”，然后在“本地連接”上右鍵點(diǎn)開“屬性”，在彈出的框里選擇“高級(jí)”，選擇“Internet連接防火墻”點(diǎn)擊設(shè)置，這樣就會(huì)彈出“WINDOWS 防火墻”的框。選擇“啟用”，然后點(diǎn)“例外”，在這個(gè)里面可以選擇“添加程序”和“添加端口”的方式來設(shè)置一些開放的端口。有一點(diǎn)需要特別注意，如果是遠(yuǎn)程連接服務(wù)器的，要注意遠(yuǎn)程虛擬終端的端口一定要開放。

6.目錄的安全設(shè)置

包括系統(tǒng)盤在內(nèi)的所有磁盤只給Administrators和SYSTEM的完全控制權(quán)限。

C:\Documents and Settings 目錄只給Administrators和SYSTEM的完全控制權(quán)限。

C:\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限。

C: \Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限。

C:\Windows目錄除了給Administrators和SYSTEM的完全控制權(quán)限之外，還需要給CREATOR OWNER用一個(gè)“特別的權(quán)限”，Power Users用戶組除了完全控制之外的所有權(quán)限，Users用戶組“讀取和運(yùn)行”，“列出文件夾目錄”，“讀取”的權(quán)限。

C:\Windows目錄的這些權(quán)限設(shè)置是非常重要的，如果除了Administrators和SYSTEM的完全控制權(quán)限之外的那些權(quán)限沒有設(shè)置，那么系統(tǒng)重啟后，很多系統(tǒng)服務(wù)都不能正常使用。

C: \Windows\System32\cacls.exe、cmd.exe、net.exe，、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限。

7.IIS控制帳號(hào)的權(quán)限分配

現(xiàn)在黑客的入侵技術(shù)當(dāng)中，有一種技術(shù)叫網(wǎng)站旁注入侵，這種技術(shù)方式上面黑客入侵技術(shù)環(huán)節(jié)已經(jīng)講過了，是通過服務(wù)器里面一個(gè)有漏洞網(wǎng)站的來實(shí)施入侵，成功獲取權(quán)限之后轉(zhuǎn)而控制其它網(wǎng)站。那大家就想知道這個(gè)問題是由于什么原因?qū)е碌摹?/p>

原來IIS對(duì)于遠(yuǎn)程的普通用戶訪問是設(shè)置了一個(gè)專用的“IUSR_機(jī)器名”的帳號(hào)。那么正因?yàn)镮IS用“IUSR_機(jī)器名”的帳號(hào)來管理所有網(wǎng)站訪問權(quán)限，因此黑客就可以用到這種旁注入侵技術(shù)了。那么怎么來解決這個(gè)問題？很簡單，我給每個(gè)網(wǎng)站分別設(shè)置一個(gè)單獨(dú)的IIS控制帳號(hào)，IIS控制帳號(hào)的權(quán)限設(shè)為GUESTS組就可以。這樣即使黑客通過服務(wù)器的一個(gè)網(wǎng)站拿到權(quán)限，那他也只有這個(gè)網(wǎng)站的權(quán)限，服務(wù)器其它網(wǎng)站他都沒有權(quán)限可以訪問，黑客對(duì)服務(wù)器破壞的風(fēng)險(xiǎn)降低了，那么安全就相對(duì)提高了。

8.注入漏洞的修補(bǔ)以及上傳文件類型的限制

這兩個(gè)部分是各位網(wǎng)站程序員所必須關(guān)注的，黑客對(duì)網(wǎng)站實(shí)施入侵的過程中，80％會(huì)用到網(wǎng)站的注入點(diǎn)和上傳漏洞來實(shí)施入侵。注入漏洞的修補(bǔ)可以使用網(wǎng)上一些現(xiàn)成的修補(bǔ)代碼，如ASP通用防注入組件，防注入代碼完美版等，但是我還是建議網(wǎng)站程序員稍微花點(diǎn)時(shí)間自己來寫防注入代碼，這樣會(huì)比較安全可靠。

上傳文件類型的限制這個(gè)寫起來也不難，只允許用戶上傳你們網(wǎng)站所要用到的文件類型，限制好文件類型，特別不要讓ASP，ASA等擴(kuò)展名的文件上傳上來，然后對(duì)文件的頭文件進(jìn)行一個(gè)檢查，發(fā)現(xiàn)有ASP木馬特征的就限制上傳。當(dāng)然，現(xiàn)在的黑客越來越聰明，ASP木馬大部分都使用一句話木馬，然后還會(huì)對(duì)代碼進(jìn)行各種各樣的變形處理來逃過網(wǎng)站的限制以及殺毒軟件的查殺。對(duì)于這些免殺技術(shù)的木馬用ASP代碼的方式很難防范，最好使用安全產(chǎn)品來進(jìn)行防御。

9.SQL權(quán)限的安全設(shè)置

ASP+MSSQL是黑客最感興趣的網(wǎng)站，通常黑客能很輕松的利用MSSQL的漏洞拿到系統(tǒng)權(quán)限，因此這一塊是大家要加以重視。

首先系統(tǒng)安裝的時(shí)候，盡量不要默認(rèn)安裝到c:\Program files目錄里面，然后安裝好之后要打好SQL數(shù)據(jù)庫最新的補(bǔ)丁程序。然后數(shù)據(jù)庫不要放在默認(rèn)的位置，接下來就要看網(wǎng)站是否需要遠(yuǎn)程登錄sql服務(wù)器，我建議能不用遠(yuǎn)程就不要用，如果必須使用的話，那建議大家可以把端口改成一個(gè)高端端口，這樣黑客很難找到。

在做好安全安裝的工作之后，就要把SA設(shè)置一個(gè)復(fù)雜的密碼，然后把SQL里面的BUILTIN\Administrators用戶組刪除，這樣是避免黑客以WINDOWS身份登錄SQL。接著在企業(yè)管理器里面編輯SQL Server注冊(cè)屬性，選擇使用“使用SQL Server身份驗(yàn)證”并勾選“總是提示輸入登錄名和密碼”。

然后在增加用戶的時(shí)候，只給public和db_owner權(quán)限。

添加用戶

exec sp_addlogin 'abc'

使它變?yōu)楫?dāng)前數(shù)據(jù)庫的合法用戶

exec sp_grantdbaccess N'abc'

授予abc用戶對(duì)數(shù)據(jù)庫的db_owner權(quán)限

exec sp_addrolemember N'db_owner'， N'abc'

最后就要?jiǎng)h除一些黑客常用到的調(diào)用SHELL，操作注冊(cè)表，調(diào)用COM組件的權(quán)限。

打開查詢分析器，輸入：

use master   
EXEC sp_dropextendedproc 'xp_cmdshell'   
EXEC sp_dropextendedproc 'Sp_OACreate'   
EXEC sp_dropextendedproc 'Sp_OADestroy'   
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'   
EXEC sp_dropextendedproc 'Sp_OAGetProperty'   
EXEC sp_dropextendedproc 'Sp_OAMethod'   
EXEC sp_dropextendedproc 'Sp_OASetProperty'   
EXEC sp_dropextendedproc 'Sp_OAStop'   
EXEC sp_dropextendedproc 'Xp_regaddmultistring'   
EXEC sp_dropextendedproc 'Xp_regdeletekey'   
EXEC sp_dropextendedproc 'Xp_regdeletevalue'   
EXEC sp_dropextendedproc 'Xp_regenumvalues'   
EXEC sp_dropextendedproc 'Xp_regread'   
EXEC sp_dropextendedproc 'Xp_regremovemultistring'   
EXEC sp_dropextendedproc 'Xp_regwrite'   
drop procedure sp_makewebtask 

點(diǎn)擊菜單上“查詢”里面的“執(zhí)行”，這樣就可以把這些會(huì)被黑客利用的權(quán)限刪除掉。

黑客入侵ASP+Access或ASP+MSSQL網(wǎng)站的防御過程到這里就結(jié)束了，關(guān)于原理性的內(nèi)容請(qǐng)閱讀：黑客入侵ASP+Access或ASP+MSSQL網(wǎng)站的手法