服务器安全讨论.ppt
《服务器安全讨论.ppt》由会员分享,可在线阅读,更多相关《服务器安全讨论.ppt(18页珍藏版)》请在三一办公上搜索。
1、服务器安全攻略,系统环境:Windows server 2003+iis6.0+SQL 2005+vs2005,Company Logo,Contents,诊断方法及其解决办法,SQL注入式攻击及预防,DDOS攻击及预防,服务器攻击手段,服务器的配置,Company Logo,服务器配置,基本配置:安装服务器补丁安装杀毒软件设置端口保护和防火墙、删除默认共享权限设置NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限 每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户 禁用不必要的服务 开始-运行-services.msc 修改注册
2、表,让系统更强壮,Company Logo,服务器攻击手段,DOS攻击与DDOS攻击DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,DOS攻击是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。区别:DOS侧重于系统漏洞的攻击,DDOS最常见的是洪水攻击,就是阻塞系统与外面的正常通信,Company Logo,DDOS攻击,SYN/ACK Flood攻击:这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,
3、主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包。判断方法:服务器无法访问,会导致Ping失败、TCP/IP栈失效,不响应键盘和鼠标。TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,导致服务器资源被耗尽。Script脚本攻击:服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。轻松找一些Proxy代理就可实施攻击。,Company Logo,SQL注入式攻击,注入式攻击是指利用设计上的漏洞,在目标服务器上运行sql命令以及进行其他方式的攻击,动态生成sql命令是没有对用户输入的数据进行验证,这是注入式攻击原理.最常见的也就是在查
4、询字符串中直接输入SQL攻击字符串 例如:page.asp?id=Num and exists(select*from admin)其次就是在FORM表单中提交的SQL注入攻击字段。通过COOKIE绕过一些放注入的脚本程序 例如:javascript:alert(document.cookie=id=+escape(这就是asp?id=xx后面xx代表的数值)and(这里是注入攻击代码);还有就是上面几种的攻击通过16进制编码后,绕过SQL注入检测的脚本程序,Company Logo,SQL注入式预防,对于构造SQL查询的技术,可以使用下面的技术:替换单引号,即把所有单独出现的单引号改成两个单
5、引号,防止攻击者修改SQL命令的含义。删除用户输入内容中的所有连字符,防止攻击者构造出类如“SELECT*from Users WHERE login=mas AND password=”之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的密码就可以顺利获得访问权限。对于用来执行查询的数据库帐户,限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作,因而也就防止了原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。,Company Logo,预防SQL注
6、入式攻击,限制表单或查询字符串输入的长度用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了普通用户与系统管理员用户的权限要有严格的区分如果一个普通用户在使用查询语句中嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计中,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句中
7、带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行。故应用程序在设计的时候,最好把系统管理员的用户与普通用户区分开来。如此可以最大限度的减少注入式攻击对数据库带来的危害,Company Logo,SQL注入式预防,强迫使用参数化语句在编写SQL语句的时候,用户输入的变量不是直接嵌入到SQL语句。而是通过参数来传递这个变量的话,那么就可以有效的防治SQL注入式攻击。也就是说,用户的输入绝对不能够直接被嵌入到SQL语句中。与此相反,用户的输入的内容必须进行过滤,或者使用参数化的语句来传递用户输入的变量。参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。采用这种措施,可以杜
8、绝大部分的SQL注入式攻击。使用SQL的参数方式.参数(Parameters)集合提供类型检测和长度检测.如果你使用参数集合,输入的内容将被当作文本值来对待,数据库不会执行包含在其中的代码.使用参数集方式的一个额外的好处是,你可以严格限定输入的类型和长度.如果输入型超出范围将会触发异常.,Company Logo,Webconfig文件配置,验证ASP.NET的错误信息没有被返回到客户端 你可以使用元素来配置客户端,一般的错误信息应该被程序错误检测机制返回到客户端.请确认已经更改web.config中的mode属性为remoteOnly,下面是示例.安在装了一个ASP.NET 的程序之后,你可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务器 安全 讨论
链接地址:https://www.31ppt.com/p-5060483.html