Web站點安全靠自己

現在基本上每家單位都部署有各自的Web站點，但在部署Web站點過程中，最擔心的莫過于自己的站點頻繁遭遇攻擊。這給單位的站點安全運行帶來了無法忽視的威脅。所以保護Web站點安全只能靠用戶自己；只有熟悉惡意用戶的攻擊方法，才能更好地進行安全防護。

切斷惡意程序上傳通道

現在單位站點有些使用的是IIS平臺，甚至還在采用免費源程序，存在相當多的安全威脅。如有的源程序啟用了ASP文件上傳功能，這項功能實際上就是一個安全漏洞，惡意用戶能通過該漏洞，偷偷安裝放置ASP木馬文件到Web站點服務器中，同時借助木馬程序偷偷獲得對應站點的WebShell權限。

為切斷惡意ASP文件上傳通道，首先要停用站點服務器中的無關系統組件。考慮到ASP木馬文件通過ASP上傳漏洞入侵Web站點時，會使用 WScript.Shell、FileSystemObject、Shell.Application、WScript.Network等組件文件，如果平時用不到這些組件文件時，不妨使用“RegSrv32 /u”命令來刪除掉。例如，在MSDOS窗口中，執行“RegSrv32 WScript.Network /u”命令即可將WScript.Network組件文件刪除掉了。對于必用的組件，可以嘗試編輯系統注冊表，為某個組件修改名稱，或設置用戶權限來控制Internet來賓賬戶對目標組件文件的訪問。

接著定期升級漏洞補丁程序。當特定類型的系統平臺存在安全漏洞，部署在該系統平臺中的Web站點就易受到攻擊，只有定期升級漏洞補丁程序才能保護站點安全。

圖1 默認網站屬性對話框

最后要為站點訪問嚴格授權。正常情況下，惡意用戶都是先想辦法竊得Web站點的主目錄訪問權限，來自由上傳非法文件；應對其主目錄嚴格進行授權訪問：首先在站點服務器系統中，依次單擊“開始”、“設置”、“控制面板”命令，雙擊控制面板窗口中的管理工具圖標，進入管理工具列表界面，選中“Internet服務管理器”圖標并雙擊，展開IIS控制臺窗口。打開特定Web站點的屬性對話框，選擇“目錄安全性”選項卡，在如圖1所示的選項設置頁面中，選擇“匿名訪問和身份驗證控制”位置處的“編輯”，從驗證設置頁面中添加導入安全的用戶賬號，并逐一刪除不熟悉的賬號。接下來點選“主目錄”選項卡，在對應選項設置頁面中按下“應用程序設置”位置處的“配置”按鈕，進入應用程序映射列表界面，逐一選中與ASPX相關的功能選項，如無法找到相關功能選項時，表示當前Web站點所在IIS系統還無法支持.NET功能，這時必須及時升級IIS系統到最新版本。之后從系統資源管理器窗口中找到Web站點所用根目錄，打開該目錄的右鍵菜單，點選“屬性”命令，點選目錄屬性框中的“安全”選項卡，在如圖2所示的選項設置頁面中，逐一刪除所有陌生的用戶賬號，導入添加信任的用戶賬號，并定義好訪問權限,“確認”后退出設置對話框。

謹防來自網站編輯威脅

對于一些規模不大的單位來說，只能借助網上的特定模板或網站編輯器來設計簡單、快捷的站點。如果用戶采用的站點編輯器恰好存在安全漏洞時，那么由其開發、設計出來的Web站點，自然也就容易被他人攻擊。

圖2 Windows屬性對話框

例如，某單位使用了“Ewebedtior”站點編輯器，開發了自己的站點，要是沒有對站點數據庫名稱進行調整時，惡意用戶能很方便地將網站的數據庫內容直接下載下來，從中能夠竊取到站點的管理員賬號和密碼。

為防止來自網站編輯的安全威脅，大家可以多措并舉，來對用非法用戶的安全攻擊。例如，及時將站點編輯器程序升級到最新狀態，確保其明顯的安全漏洞能得到及時修補；將站點數據庫的登錄名稱和密碼設置得更為復雜；為站點數據庫的名稱添加“#32$&fgds”之類的前綴或后綴，這樣當惡意用戶嘗試下載網站數據庫時，將會彈出目錄顯示拒絕的錯誤提示，造成下載操作無法繼續。當然，為了保證網站正常調用數據庫，站點技術人員需要調整數據庫連接文件“conn.asp”中的內容。

此外，在IIS服務器中直接將數據庫的擴展名調整為其他類型，也能防止來自網站編輯的威脅。例如，將站點數據庫的名稱“aaa.mdb”調整為“aaa.inf”，同時在數據庫連接文件“conn.asp”中進行同樣的調整操作，這樣惡意用戶就不能輕易找到下載目標，即使找到目標準備下載時，瀏覽器也會彈出不能發現對應頁面的錯誤提示。如果不想調整站點數據庫的名稱或擴展名時，也能嘗試將該文件存儲到Web站點主目錄之外的路徑，來避免惡意用戶輕易發現到下載目標。例如，可以在主站點的根目錄之外，手動生成“H:xyx”文件夾，將網站數據庫文件遷移到該目錄下，同時對“conn.asp”文件中的相關路徑信息進行調整。這樣，由于站點數據庫文件位于主目錄之外，惡意用戶也無法通過瀏覽器進行下載訪問。

強制使用站點證書服務

強制使用站點證書服務，可避免無關用戶對站點的入侵和攻擊。要做到這一點，先要為特定站點生成SSL驗證證書。逐一點選Web站點所在服務器主機系統的“開始”、“設置”、“控制面板”命令，打開系統控制面板窗口，通過“管理工具”、“Internet 信息服務(IIS)管理器”等圖標進入IIS控制臺窗口。將鼠標定位在“本地計算機”、“網站”分支上，打開特定站點的右鍵菜單，執行“屬性”命令，切換到目標站點屬性對話框。選擇“目錄安全性”選項卡，在“安全通信”設置項處按下“服務器證書”按鈕，彈出身份驗證證書安裝向導對話框，依照提示勾選“新建證書”選項，定義好新安裝身份驗證證書名稱，設置好密鑰位長和Web站點詳細域名信息，指定好特定文本文件來保存證書請求信息，默認狀態下系統會選用Windows安裝文件夾中的“certreq.txt”文件來自動保存證書請求信息，最后單擊“完成”。

圖3 證書服務選項

接著安裝證書服務組件。用鼠標雙擊系統控制面板窗口，點擊其中的“添加或刪除程序”圖標，選擇“添加/刪除Windows組件”選項卡，勾選“證書服務” 選項（如圖3所示），按下“是”按鈕，選用“獨立根CA”選項，輸入好CA名稱信息，設置證書生效時間，證書缺省的有效時間為5年，最后選擇好證書數據庫的保存路徑，并設置好日志信息的存儲位置。

下面申請高級網站證書。進入系統資源管理器窗口，找到system32文件夾，將其中的Certsrv子文件夾復制到Web站點主目錄下。開啟IE瀏覽器程序運行狀態，在其地址欄中輸入“http://Web網站地址/certsrv/default.asp”， 打開Microsoft證書服務頁面，依次單擊“申請一個證書”、“高級證書申請”、“使用base64編碼的CMC或PKCS #10文件提交一個證書申請，或使用base64編碼的PKCS#7文件續訂證書申請”選項，輸入“certreq.txt”文件中的內容，單擊“提交”，順利申請獲得高級網站證書。之后還要頒發證書，使申請得到的證書立即生效。在控制面板窗口中雙擊“證書頒發機構”圖標，從“掛起的申請”列表中打開特定高級網站證書的右鍵菜單，逐一點選“所有任務”、“頒發”命令；勾選“頒發的證書”選項，從“頒發的證書”列表中右擊特定高級網站證書，單擊“詳細信息”選項卡，按下對應選項設置頁面中的“復制到文件”按鈕，彈出證書導出向導對話框，輸入好導出證書文件名稱，退出高級網站證書頒發對話框。

最后導入已頒發好的網站證書到Web站點主目錄。打開IIS控制臺窗口，依次選擇“本地計算機”、“網站”分支選項，用鼠標右鍵單擊特定Web站點名稱，選擇右鍵菜單中的“屬性”，在“目錄安全性”選項設置頁面中點擊“服務器證書”按鈕，勾選“分配現有證書”選項，將已頒發成功的高級網站證書導入進來，再定義好特定站點使用的SSL端口，最后點擊“完成”按鈕即可。

強化用戶訪問輸入過濾

當Web站點沒有對用戶訪問進行嚴格的輸入過濾操作時，非法用戶就能輕易將一些惡意代碼在客戶端瀏覽器上運行，從而盜取站點的隱私數據，甚至能利用合法用戶的身份來執行一些攻擊性操作，例如造成訪問站點的人感染網絡病毒。

為避免上述安全風險，首先要增強IE瀏覽器安全防范等級。在設置安全訪問等級時，先開啟IE瀏覽器程序運行狀態，依次單擊瀏覽窗口中的“工具”、“Internet選項”命令，彈出Internet選項設置對話框，選擇“安全”選項卡，展開選項設置頁面，將其中的安全級別設置為高，并且在“自定義”位置處按需進行合適的設置，將一些平時用不到的腳本全部禁用掉。其次加強對用戶輸入內容的過濾。在確保Web網站工作正常的前提下，可以對填寫在網站表單中的“#”、“

借助工具加大防護力度

大家很多時候只能借助專業工具來加大對站點的安全防護力度。最常使用的安全工具就是防火墻，善于借助它的力量，能輕松應對各種最新安全攻擊。

一般來說，對于規模不大的單位來說，經常會將防火墻工具和Web站點服務器部署在一起，當訪問者瀏覽特定站點內容時，防火墻工具就能對用戶的訪問行為、瀏覽的數據內容進行動態監控，同時過濾可疑數據、攔截非法攻擊操作。有些防火墻工具通過在站點服務器端，直接嵌入安全掃描模塊，依照用戶預先配置的安全要求，來智能掃描、分析站點服務器的發送數據和接受數據，自動屏蔽和過濾對站點有安全威脅的行為和數據，確保Web站點不會接受到攻擊數據。

強制站點進行身份驗證

為了避免重要Web站點的數據，被惡意用戶中途攔截，大家可以啟用站點的身份驗證功能，對網站數據進行加密傳輸。打開Web站點的目錄安全選項設置頁面，單擊“安全通信”處的“編輯”按鈕，將“要求安全通道(SSL)”、“要求 128位加密”等選項依次選中，在“身份驗證和訪問控制”位置處按“編輯”按鈕，將“啟用匿名訪問”、“集成 Windows身份驗證”這些選項的選中狀態全部取消，再將“基本身份驗證”選中即可。

完成上述配置任務后，就能強制站點進行身份驗證了。日后，用戶再對Web站點進行訪問時，只要在IE瀏覽框中輸入“https://Web站點地址”，就能看到頁面內容了。此時，該站點中的數據包在傳輸時，任何黑客都將不能偷窺到，這樣Web站點的數據傳輸就安全了。