有時(shí)我們經(jīng)常遇到網(wǎng)站無(wú)法打開，然后我們接到黑客的勒索電話，這意味著你的網(wǎng)站可能會(huì)受到黑客的攻擊，所以網(wǎng)站的安全性是非常重要的。如果網(wǎng)站安全系數(shù)不高，輕則可能導(dǎo)致網(wǎng)站無(wú)法打開，重則會(huì)間接造成公司經(jīng)濟(jì)損失。所以在建設(shè)網(wǎng)站時(shí)，要考慮網(wǎng)站的安全性。這里有兩個(gè)安全措施，以防止網(wǎng)站被黑客攻擊。

一、防止非法下載數(shù)據(jù)庫(kù)

應(yīng)該說(shuō)，一個(gè)小小的網(wǎng)絡(luò)安全管理員會(huì)改變從網(wǎng)上下載的網(wǎng)站程序的默認(rèn)數(shù)據(jù)庫(kù)路徑。當(dāng)然，有些管理者非常粗心。當(dāng)他們得到這個(gè)程序時(shí)，他們直接在他們租用的服務(wù)器上安裝它。他們甚至不刪除指令文件，更不用說(shuō)更改數(shù)據(jù)庫(kù)路徑了。這樣，黑客可以直接從源站點(diǎn)下載網(wǎng)站源程序，然后在本地測(cè)試中找到默認(rèn)的數(shù)據(jù)庫(kù)，然后通過(guò)下載數(shù)據(jù)庫(kù)讀取用戶信息和數(shù)據(jù)（通常由MD5加密），找到管理入口登錄獲取webshell。另一種情況是，由于程序錯(cuò)誤，網(wǎng)站數(shù)據(jù)庫(kù)的路徑被公開。我們?nèi)绾尾拍芊乐惯@種情況？我們可以添加MDB的擴(kuò)展映射。如下所示：

打開IIS以添加MDB映射，并讓MDB解析為其他無(wú)法下載的文件：“IIS屬性”-“主目錄”-“配置”-“映射”-“應(yīng)用程序擴(kuò)展名”以添加。Mdb文件應(yīng)用程序解析。至于用來(lái)解析它的文件，你可以自己選擇。如果要訪問(wèn)數(shù)據(jù)庫(kù)文件，則無(wú)法訪問(wèn)它。

二、阻止上載

對(duì)于上述配置，如果使用MSSQL數(shù)據(jù)庫(kù)，只要有注入點(diǎn)，仍然可以使用注入工具猜測(cè)數(shù)據(jù)庫(kù)。如果上傳的文件沒(méi)有身份驗(yàn)證，我們可以直接上傳一個(gè)ASP木馬來(lái)獲取服務(wù)器的webshell。

對(duì)于上傳，我們可以總結(jié)如下：可以上傳的目錄沒(méi)有執(zhí)行權(quán)限，可以執(zhí)行的目錄沒(méi)有上傳權(quán)限。web程序由IIS用戶運(yùn)行。只要給IIS用戶一個(gè)具有寫權(quán)限的特定上傳目錄，然后刪除該目錄的腳本執(zhí)行權(quán)限，就可以防止入侵者通過(guò)上傳獲取webshell。配置方法：首先打開IIS的web目錄中的權(quán)限頁(yè)簽，只讀取和列出IIS用戶的目錄權(quán)限，然后輸入保存和存儲(chǔ)上傳文件的目錄，并向IIS用戶添加寫權(quán)限。后，在這兩個(gè)目錄的“properties”-“execute permission”選項(xiàng)中將“PURe script”更改為“None”。

最后，在設(shè)置上述權(quán)限時(shí)，必須注意子目錄的繼承，避免徒勞無(wú)功。