#----------------------------------------------------------#
# ====> 紅色字體 -特指煮酒個(gè)人所見�����。加粗則為需要重點(diǎn)注意�����。 #
# ====> 藍(lán)色加粗 -特指與本文相關(guān)人員,包括參與修正的朋友���。 #
# ====> 煮酒品茶 -Http://cwtea.blog.51cto.com #
#----------------------------------------------------------#
煮酒品茶:上次寫的80安全-WEB服務(wù)器安全淺淡! 【第一次編輯】 受到的關(guān)注還蠻多的���,那個(gè)時(shí)候只是一個(gè)單純的想法而已�����,我想更多的應(yīng)該是我們把它具體運(yùn)用到實(shí)踐當(dāng)中去�����,或多或少你可以考慮的��。
首先設(shè)想:有什么樣的需要我們就會(huì)有什么樣的程序���,也會(huì)有何種層次的極別。安全或許一個(gè)層次的堅(jiān)守并不代表全局的安全��,而全局的安全則是由很多個(gè)層次來構(gòu)成的����,所以技術(shù)的積累是很重要的,量到一定程序就會(huì)產(chǎn)生質(zhì)變���。
煮酒品茶:一個(gè)程序從不同的角度上看會(huì)有不同的結(jié)果����,所以可能和你所想要的有點(diǎn)偏差。我只是把我個(gè)人的想法進(jìn)行一個(gè)表述�,并希望通過實(shí)踐來得出它是可行的,也不希望有誤倒讀者的意思����。自己衡量這個(gè)標(biāo)準(zhǔn)。
攻擊情形假設(shè):
1����、非法用戶通過非法手段得到權(quán)限并進(jìn)行入侵攻擊
2、上傳程序到網(wǎng)站目錄���,由于用戶所獲得的權(quán)限為www�,而www的權(quán)限是在整個(gè)程序目錄����,所以活動(dòng)目錄為主程序目錄。
3�����、上傳X馬到主程序并得到解釋后進(jìn)行進(jìn)一步提權(quán)�。(這時(shí)已經(jīng)可以得到全部網(wǎng)站數(shù)據(jù)了)
一般的web程序是不會(huì)老是變動(dòng)的��,而且會(huì)有一個(gè)固定的框架。
1�����、所有主程序目錄(web主程序)
2�、圖片上傳目錄以及資料上傳目錄
3、有時(shí)候會(huì)有cache的目錄存在
4����、數(shù)據(jù)庫會(huì)存儲相當(dāng)可觀的數(shù)據(jù),并進(jìn)行實(shí)時(shí)調(diào)用(此為表述)
根據(jù)我們在web服務(wù)器安全淺談上進(jìn)行理論操作�,即為可寫不可讀,可讀不可寫����。(此處指的是動(dòng)態(tài)語言)但有時(shí)候環(huán)境不得不讓你可讀而且可寫,比如我們的cache目錄�,或者你可以放到別的服務(wù)器上,讓他們分開����。更或者......
下為針對上方需求所設(shè)想:
1、此項(xiàng)為可讀不可寫����,因此為予權(quán)限為www用戶可讀禁止寫入���。
2、此項(xiàng)為可寫不可讀�����,測試過不給讀權(quán)限也可以調(diào)用圖片�����。(或者采用3的方法)
3��、此項(xiàng)為要可寫也要可讀��,那么我們的方法是利用web服務(wù)器程序進(jìn)行禁止解釋
4���、此為數(shù)據(jù)庫安全�����。與本題無關(guān)�����。
然后我們針對以上方案進(jìn)行一個(gè)實(shí)例的測試��。
程序目錄結(jié)構(gòu)如下:
- [root@bogon data]# tree
- .
- |-- cache
- | `-- index.htm
- |-- image
- | `-- 220903335.jpg
- |-- index.php
- `-- upload
- `-- test.rar
Cache為緩存��,image為圖片上傳目錄����,upload為文件上傳目錄�����,當(dāng)前目錄為主站程序目錄��。
先進(jìn)行測試訪問�����。
三個(gè)都是可以被web程序所解釋的����。
設(shè)置全站權(quán)限:
煮酒品茶:x是代表可執(zhí)行也就是web程序nginx可執(zhí)行。這樣看就方面看多了����。
- [root@bogon data]# ll
- total 16
- drwx------ 2 www www 4096 Jun 5 03:22 cache
- drwx------ 2 www www 4096 Jun 5 03:22 image
- -rwx------ 1 www www 21 May 31 02:13 index.php
- drwx------ 2 www www 4096 Jun 5 03:22 upload
修改Nginx.conf配置需求
- location ~* ^/(cache|image|upload)/.*\.(php|php5|PHP|PHP5)$
- {
- deny all;
- }
重啟nginx
最終結(jié)果�����,清緩存����。
應(yīng)用程序正常業(yè)務(wù)
靜態(tài)文件目錄非法上傳非法文件����。
煮酒品茶:主程序只給可讀可執(zhí)行的命令。所以一般情況下無法被寫入����。我們的安全等級提高了一點(diǎn)點(diǎn)。配合其它的手段使安全得到更多的保障��!
附:nginx.conf 禁止解釋的代碼���,學(xué)過正則的都看的懂����。
-------------------------------------------------
- location ~* ^/(cache|image|upload)/.*\.(php|php5|PHP|PHP5)$
- {
- deny all;
- }
--------------------------------------------------------
域名注冊知識
虛擬主機(jī)知識
網(wǎng)站建設(shè)知識
網(wǎng)絡(luò)推廣知識
網(wǎng)絡(luò)營銷知識
常見技術(shù)問題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)
