惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

腾讯CDC
Schneier on Security
Schneier on Security
B
Blog RSS Feed
aimingoo的专栏
aimingoo的专栏
P
Proofpoint News Feed
A
About on SuperTechFans
Recorded Future
Recorded Future
Recent Announcements
Recent Announcements
Microsoft Security Blog
Microsoft Security Blog
L
LangChain Blog
Hugging Face - Blog
Hugging Face - Blog
The GitHub Blog
The GitHub Blog
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
Vercel News
Vercel News
H
Hackread – Cybersecurity News, Data Breaches, AI and More
MyScale Blog
MyScale Blog
V2EX - 技术
V2EX - 技术
N
Netflix TechBlog - Medium
F
Fortinet All Blogs
V
Visual Studio Blog
Martin Fowler
Martin Fowler
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
博客园 - Franky
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
T
The Exploit Database - CXSecurity.com
F
Full Disclosure
Scott Helme
Scott Helme
H
Heimdal Security Blog
博客园 - 叶小钗
Google DeepMind News
Google DeepMind News
Cyberwarzone
Cyberwarzone
Application and Cybersecurity Blog
Application and Cybersecurity Blog
V
Vulnerabilities – Threatpost
Blog — PlanetScale
Blog — PlanetScale
Security Latest
Security Latest
WordPress大学
WordPress大学
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
T
Troy Hunt's Blog
S
SegmentFault 最新的问题
Forbes - Security
Forbes - Security
Jina AI
Jina AI
S
Securelist
小众软件
小众软件
Simon Willison's Weblog
Simon Willison's Weblog
J
Java Code Geeks
AWS News Blog
AWS News Blog
N
News and Events Feed by Topic
博客园 - 三生石上(FineUI控件)
量子位

博客园 - IT Person

算法 《微软的秘密》读书笔记 经典思维50法 SQL Server 2008 T-SQL编程系列课程之常用查询算法比较 SQL Server 2008 T-SQL编程系列课程之T-SQL标准语法 ASP.NET 4风云之旅系列之ASP.NET 4对开发人员的核心运行时新特性 ASP.NET 4 风云之旅系列之ASP.NET MVC 2的新特性 ASP.NET 4 风云之旅系列之Visual Studio 2010在Web开发方面的新特性 ASP.NET开发实践系列课程之ASP.NET综合调优 从架构设计到系统实施-基于Windows Server 2008的全新企业应用之Card Space身份验证 从架构设计到系统实施-基于.NET 3.0的全新企业应用之开发Vista边栏应用 从架构设计到系统实施-基于.NET 3.0的全新企业应用之开发基于MMC 3.0的管理工具 从架构设计到系统实施-基于.NET 3.0的全新企业应用之加入Silverlight支持 从架构设计到系统实施-基于.NET 3.0的全新企业应用之设计基于WPF的客户端 从架构设计到系统实施-基于.NET 3.0的全新企业应用之设计基于AJAX和IIS7的网站 - IT Person 从架构设计到系统实施-基于.NET 3.0的全新企业应用之设计基于WF的工作流 从架构设计到系统实施-基于.NET 3.0的全新企业应用之基于WCF的系统服务 - IT Person 深度剖析Workflow Foundation之Workflow Activities 深度剖析Workflow Foundation之开发流程(下)
ASP.NET开发实践系列课程之Web应用的安全攻防之网页木马
IT Person · 2010-03-07 · via 博客园 - IT Person

木马概述
一类恶意程序。多不会直接对电脑产生伤害,而是以控制为主。

网页木马(SPY)
表面上伪装成普通的网页文件或是将恶意的代码直接插入正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

另一种是,通过网站的安全漏洞或社会工程学原理将一个web版的spy程序放置在网站的某目录中。

网页spy的主要表现形式及危害
读取,下载网站,服务器系统内部敏感文件,非法获取数据
修改删除网站,服务器系统内部重要文件,破坏网站或服务器系统,使得网站或服务器系统无法正常工作。或篡改重要内容,欺骗访问者或破坏网站公司形象。
修改网站程序,向网站页面挂马,造成访问者的电脑系统被植入木马程序
获取服务器的高级权限,控制服务器,进行非法行为。
将web服务器做为跳板入侵公司组织内部系统。

网页木马主要原理
通过文件上传的安全漏洞或通过社会工程学原理,向网站内放置非法的*.asp,*.php,*.aspx...文件
确认文件所在目录有执行权限,以确保上述文件可被web服务器执行
确认放置的非法网页程序,具有文件读取,修改,删除等权限
确认放置的非法网页程序,是否可以执行特殊的系统命令
确认服务器上是否安装了可能有漏洞的软件/服务程序
利用放置的非法网页程序执行非法操作

主要防御手段
IIS不要开启写入权限
网站的文件上传程序,要具有一定的安全过滤能力
上传文件的存储目录在IIS中不允许执行脚本
不需要动态修改的文件或目录,最好设置为只读。
有安全风险的网站将其设置在独立的应用程序池中
应用程序池的执行身份最好是单独设置的用户,以便隔绝不同应用程序池之间的访问权限,该用户的系统权限尽量放低(比如说不允许执行高极的系统命令)
文件系统使用NTFS格式,并设置好足够的最小权限。
数据库服务部允许本地账号直接访问,尤其是不允许管理员身份
建议不允许当前往站的数据库用户具有XP-Shell的执行权限
尽量避免安全具有安全风险的第三方软件,例如Serv-U等
若是IIS7.5,建议将应用程序池标识设置为Application PoolIdentity