IT,PMP,Design!
like movie,music,basketball&runner!
配置审核
Web 服务器或应用程序服务器的配置在保护网站内容方面起着重要作用。为了发现常规配置错误,必须对其仔细检查。显然,网站策略和服务器软件提供的功能不同,推荐的配置也不同。然而在大多数情况下,应该遵守配置指导方针(由软件供应商或外部各方提供),以确定服务器是否已经相对安全。笼统地说出服务器应该如何配置是不可能的。但是,我们可以采用一些公用的准则:
只启动应用程序需要的服务器模块(例如在 IIS 中的 ISAPI 扩展)。由于软件模块被禁用以及服务器规模和复杂性减小了,从而减少了攻击面。如果一些漏洞存在于已停用的模块中,这一方法还能防止可能出现在供应商的软件中的漏洞。
使用定制网页而不是使用默认的 Web 服务器的网页处理服务器错误(40x 或 50x)。具体来说,确保任何应用程序错误不会返回给终端用户,以及没有任何编码在这种情况下泄露。因为这些都会给攻击者机会。通常,开发者都很容易忽视了这一点,因为他们确实在开发环境中需要这些信息。
确保服务器软件在操作系统中以最小权限运行。这样可以防止服务器软件的一个错误直接损害整个系统。然而,攻击者一旦可以作为 web 服务器运行代码,他就可能可以非法提升权限。
确保服务器软件可以正确记录合法登录和错误。
确保服务器的配置可以妥善处理超载,并能防止拒绝服务攻击。确保该服务器已进行适当的性能调整。
评论
热度 ( 1 )