🐱‍🚀中间件加固

🐱‍🚀中间件加固:iis

  • 启动(网站都已dvbbs作为示范) 程序–管理工具–iis服务管理器–网站—dvbbs—右键–属性
  1. 修改默认日志的路径:网站—配置—d:\dvbbslog:权限:仅system可读写,administrator:读
    日志分析工具:星图full,splunk,biglog
    认证:cisp-pte,ire
    默认路径:c:\windows\system32\logfiles
  2. 日志记录:协议版本,cookie:取证,应急,增加空间:
    网站–配置–高级:协议版本,cookie
  3. 删除不必要的映射,防上传webshell
    主目录–配置–映射:当前用哪些脚本:保留:asp,cer,不用的扩展名删除:.cdx
    .asa
  4. 向客户端发送自定义错误信息:
    处理url错误,请与管理员联系
    \

详细:调试,报错;信息泄露
备注:%23 数据名字前加特殊符号防下载,只需要第一字符进行url编码就能下载
5. 不要给目录浏览权限:产生:目录遍历漏洞:
baidu:inurl:index of /ppt
index of /data
filetype:xls password
site:gooann 后台
主目录:目录浏览:不要选择
6. 不要给写入权限:防上传webshell
7. 删除所有的自定义错误:防挂马
C:\WINDOWS\help\iisHelp\common\
8. 限制后台登录ip:中层安全策略
admin--右键--属性--目录安全性---限制:拒绝:允许

##🎂 数据库加固
1. 安全架构:禁止数据库和web同台,数据库放到内网,web防火墙dmz
2. 数据库因
a. 鉴别:单因素:密码足够复杂和长,口令短语
双因素:①你有的:卡,证书,②你是谁:生物特征:指纹,虹膜,③你知道的:密码
b.授权:最小特权,防授权蔓延:岗位变化时回收原来权限
c.机密性:aes 256
d.完整性:sha256
e.抗抵赖:数字签名:私钥不出usbkey
f:粒度越小越灵活,越安全:库—-对象:表,view,存储过程—》行,列:update,insert select
3. 防数据库下载:
a.数据库名称首字母用特殊符号
b.数据库重定向到主页:
dvbbs7.mdb–右键–属性—重定向到主页:
http://www.dvbbs.com
4. 修改默认数据库名字

👀权限加固:ntfs权限加固

c:\bbsbak:右键–属性–安全
1. 删除所有默认权限:高级–允许父:取消
2. 添加administrator:完全控制
3. 添加iis_wpg:完全控制
4. 添加iusr_benet:读取
确定中哪些目录需要写入权限:data,databackup,uploadface,uploadfile
—–iusr_benet:写入
5. 防webshell:能写入不能执行
iis服务管理器–网站–dvbbs:写入的目录:uploadfile:右键–属性–目录–执行权限:无

发表评论

电子邮件地址不会被公开。