@微光
2年前 提問
1個回答
預防錯誤的安全配置漏洞措施有哪些
在下炳尚
2年前
預防錯誤的安全配置漏洞措施有以下這些:
文件上傳的目錄設置為不可執行:只要wb容器無法解析該目錄下面的文件,即使攻擊者上傳了腳本文件,服務器本身也不會受到影響。
判斷文件類型:在判斷文件類型時,可以結合使用ME下yp、后綴檢查等方式。在文件類型檢查中,強烈推薦白名單方式,黑名單的方式已經無數次被證明是不可靠的。此外,對于圖片的處理,可以使用壓縮函數或者res立e函數,在處理圖片的同時破壞圖片中可能包含的HTML代碼。
使用隨機數改寫文件名和文件路徑:文件上傳如果要執行代碼,則需要用戶能夠訪問到這個文件。在某些環境中,用戶能上傳,但不能訪問。如果應用了隨機數改寫了文件名和路徑,將極大地增加攻擊的成本。再來就是像shel.php.rar.rar和crossdomain.xml這種文件,將因為重命名而無法攻擊。
單獨設置文件服務器的域名:由于瀏覽器同源策略的關系,一系列客戶端攻擊將失效,比如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將得到解決。
使用安全設備防御:文件上傳攻擊的本質就是將惡意文件或者腳本上傳到服務器,專業的安全設備防御,此類漏洞主要是通過對漏洞的上傳利用行為和惡意文件的上傳過程進行檢測。惡意文件千變萬化,隱藏手法也不斷推陳出新,對普通的系統管理員來說可以通過部署安全設備來幫助防御。
實施漏洞掃描和審計以對安全配置情況進行檢測:檢查文件目錄訪問權限是否符合最小化原則,檢查所有與驗證和權限有關的設定,是否在Web數據庫服務器上運行其他服務,主機、數據庫、Web服務器和中間件是否保持自動更新等。