作者：juniu网络   来源:互联网    发布时间:2022-03-31

　　越来越多网站运营者不了解网络安全知识，程序出了补丁都不一定往补!等到网站瘫痪了，或者被挂马的时候才后悔为什么不懂黑客侵进防范知识，我在这里提几点安全意识，希看对大家有一些帮助。

　　一、防止信息库被非法下载

　　应当说，有一点网络安全的管理员，都会把从网上下载的网站程序的默认信息库路径开展更改。当然也有一部分管理员非常粗心，拿到程序直接在自己租赁的服务器上开展安装，甚至连说明文件都不开展删除，更不要说更改信息库路径了。这样黑客就可以根据直接从源码站点下载网站源程序，然后在本地测试找到默认的信息库，再根据下载信息库读取里面的客户信息和资料(一般是经过md5加密的)找到管理进口开展登录获得网站shell。还有一种情况是由于程序出错暴出了网站信息库的路径，那么怎么防止这种情况的发生呢?大家可以添加mdb的扩展映射。如下图所示：

　　打开iis添加一个mdb的映射，让mdb解析成其他下载不了的文件：“iis属性”—“主目录”—“配置”—“映射”—“运用程序扩展”里面添加.mdb文件运用解析，至于用于解析它的文件大家可以自己开展选择，要访问信息库文件出现无法访问就可以了。

　　2、防止上传

　　针对以上的配置如果使用的是mssql的信息库，只要存在注进点，依然可以根据使用注进工具开展信息库的猜解。倘若上传文件根本没有身份验证的话，大家可以直接上传一个asp的木马就得到了服务器的网站shell。

　　对付上传，大家可以总结为：可以上传的目录不给执行权限，可以执行的目录不给上传权限。网站程序是根据iis客户执行的，大家只要给iis客户一个特定的上传目录有写进权限，然后又把这个目录的脚本执行权限往掉，就可以防止黑客侵进者根据上传获得网站shell了。配置方法：首先在iis的网站目录中，打开权限选项延迟大、只给iis客户读取和列出目录权限，然后进进上传文件保存和存放信息库的目录，给iis客户加上写进权限，最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”就可以。

　　小编认为，网站黑客侵进应该是常事，正因为有商业竞争力所以才会产生系列的商业竞争，那么对于大家现代网络安全管理方面，建议公司应该做好网站的同时，应该找一个比较靠谱的网络技术维护合作，让自己公司的网站稳定而安全的为公司服务。

　　【文章转自荷兰服务器 http://www.558idc.com/helan.html 欢迎留下您的宝贵建议】