现代论坛已经包含了一个完整系统所应该具有的一切元素.包括
文件系统(上传下载的文件管理)
用户系统(具体的帐户管理系统)
数据库系统(保存数据的各种数据库访问方式)
以及各种小的应用程序(各种插件)
如果要做整体的方案还是从这几个大方面来考虑.
1.文件系统
对于论坛来说文件系统的安全性就更为重要.首先系统文件(论坛程序)应该对所有用户不可写.这点似乎很少有朋友关注.大多也就去掉可执行权限.其实ASP程序和PHP程序.主程序文件对于IIS USER只需要读取权限就足够了.
对于temp文件夹或者upload文件夹.需要去掉IIS对其的执行,也就是将其作为非脚本文件处理.
还有对于上传,最好不是所有注册用户都有权限上传.如果入侵者需要泡你的论坛十几天后才有上传文件的权限,估计很多script kidds都会失去兴趣甚至忘记你站点的存在(执着者除外.)
2.用户系统
论坛的用户是入侵者注意的关键,许多论坛已经加入了对所有用户选择的密码的强度要求.这点非常好,不能由于方便就容许诸如123456这样的密码在你的论坛内存在.而用这个密码的人,可能就是管理员的好友.接着你也知道黑客会怎么通过这个帐号来使用社会工程学突破系统了.
对于管理员帐户,应该尽少的使用这种帐户来登陆,任何*nix教程都会让你另外建立一个帐户来登陆系统而不是始终使用root帐户.管理员帐户应该在接到报告之后才进行登陆,并且尽量通过系统后台进行操作.
从*nix引入的一个很好的想法就是su,只有特定的帐户提权之后才能变成管理员,而管理员本身无法直接登陆,这样即便入侵者获取管理员帐户,也无法直接登陆或者通过他的帐号提权,除非你的帐号密码和管理员的设置为相同的,当然这又违反了另一个安全规则"不应该在不同场合使用相同密码"
3.数据库系统
作为论坛的数据库系统,简单许多了.因为都是使用现成的数据库软件,而对于这些数据库软件本身的加强,就是所需要做的一切.
对于access,建议加上URL SCAN禁止对于.MDB文件的下载即可,不用去改什么后缀和文件名,那样的操作都没什么效果.
对于mysql和ms sqlserver,应该是系统管理员进行的维护,如果系统管理员就是你,那应该去掉无用的组件,而mysql使用单独用户来运行就可以了.
4.应用系统
非常多的人在意前面几个部分的内容而忽视后面部分的内容.一个纯系统是很难被攻破的.但是加上各种应用之后,他的漏洞就开始逐渐显现出来了.许多论坛本身维护的非常好,但是漏洞出在了许多的hack插件上,首先插件许多是由个人开发的,而他们的开发目标是应用的多样性,而不是安全,所以许多插件的安全问题非常严重.在各位给自己的系统上加上插件之前,严格的审核是非常有必要的.
如果你只是像你长辈那样使用一台未经设置的电脑,不中毒简直就是奇迹了.同样的道理,如果你只是简单的架设起一个论坛,那么里面没有漏洞也简直是个奇迹,特别当你在其中又加了许多插件之后.
随便说了一堆,希望对大家的思路有所帮助.
【转自世纪安全网 http://www.21safe.com】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)