頻道欄目
首頁 > 資訊 > 系統安全 > 正文

論壇的安全配置指引--節選

04-10-01        來源:[db:作者]  
收藏   我要投稿
論壇的安全配置

由于本人掌握的技術和愛好原因,這個部分會講得特別詳細。
首先說說ASP論壇的數據庫問題,在數據庫里存放了整個論壇的所有數據,包括用戶的敏感信息,這是非常危險的,這時我們就面臨一個防數據下載的問題,其實真正做到防下載有兩個辦法:
請看下面的目錄結構

E > user > sangel> |database web > bbs
|sangel
|log

USER目錄是存放所有客戶的目錄,sangel目錄是sangel這個客戶的FTP目錄,也就是說sangel通過軟件FTP上服務器所看到的根目錄,Web目存放所有站點文件的目錄,也就是輸入域名可以直接訪問的目錄。BBS是放論壇的目錄,database用于放各種程序的數據庫,錄然也包含了論壇數據庫,先將數據庫上偉至database目錄,把論壇的所有文件上傳至bbs目錄,然后修改數據庫配置文件conn.asp(或其它)里面的路徑,改為“../../ database/bbsdatabasenodown.MDB.”就可以調用數據庫了,由于database目錄是不能夠被直接訪問的,所以管理員得事先做好這樣的目錄結構才能行得通,這時又有了第二種辦法,把數據庫改名為*.asp.在conn.asp里改相關地方,這樣也可以防下載,其實每套論壇程序都有安全方面的說明,大家可以自行參閱。

然后就是配置論壇的問題,除開bbsxp論壇,其他論壇的配置工作是相對繁瑣的,特別新版動網和VBB還有CDB,就像設置一個操作系統一樣,要提高效率則要好好配置,要讓整個論壇更安全,更要好好配置。
HTML標簽是一定要無條件禁止的,不管論壇用于什么目的,否則有些不懷好意的人,放個<iframe>標簽,只要設法讓服務上的瀏覽器訪問,就可以在服務器建立一個用戶,并且有辦法提升權限,到時整個服務器的用戶都會受危脅,不是危言聳聽,是千真萬確的事實。

FLASH標簽也是要禁止的,因為FLASH作為矢量動畫的佼佼者,因此不少病毒都在利用FLASH傳播,如果在FLASH里做個“get url”就可以在你不知情的情況下打開一個新頁面,引你進入帶有惡意代碼、病毒或是木馬的頁面,你痛苦不?我做了個swf,里邊有這個功能,但進入的是我的論壇,大家有興趣可以看http://www.sangel.net/1.swf

然后是上傳文件的設置,有些論壇設有完整的語句過濾代碼,使得入侵者只要構造一句特殊的指令便能上傳系統不允許上傳的文件類型,誰也不能確保這種情況不會出現在自己所使用的論壇程序上,只要能上傳asp或php程序,服務器就有可能被攻占,所以要禁止上傳,如果確實要上傳附件功能,那么請限制上傳文件大小和文件類型,大小限制在20K以內,文件只允許Gif.Jpg.Png.Doc.Wps.Zip.Rar就可以了。

在語句的過濾和用戶的過濾設置里,把一些系統命令的名稱都過濾掉,比如SYSTEM.FILE.DIR.CMD.FORMAT等,大家還記不記得以前BBS3000存在一個這樣的漏?注冊一個dir用戶,系統會生成一個dir.cgi的文件,當用internet瀏覽器訪問該文件時,竟出現了該主機的目錄列表,現在的論壇沒有了這漏洞,但液屯不能肯定什么時候又冒出什么新問題。

對于用戶的權限也是要非常重視的,因為有些總壇主看到稍有實力的人或上比較能灌的人就給他加權限,甚至給熟人、朋友、情人加權限,這是規模小的論壇通病,是非常不可取的,通過我小規模的調查,只有15%的安全意識進高的,給那85%的人加權限,這些人又不妥善保管自己的密碼,給論壇的安全又帶來一點威脅,所以加別人權限時一定要看看這個人的安全意識怎么樣,而且還要嚴格控制權限,使他不能做職責以外的事。

可能的話裝些插件以增加安全性,比如隨機認證碼插件,讓用戶每次登陸都要輸入隨機認證碼,這樣可以防止不懷好意的人用“溯雪”一類的工具破解用戶密碼。

這樣的論壇才可以說是比較安全的,關于論壇的安全配置就談到這,說不定你比我做得更好

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

免费的黄色网站