查看: 10900|回复: 0

web主程序安全

[复制链接]
  • TA的每日心情
    开心
    2015-9-8 13:06
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2012-6-8 08:39:47 | 显示全部楼层 |阅读模式
    首先设想:有什么样的需要我们就会有什么样的程序,也会有何种层次的极别。安全或许一个层次的坚守并不代表全局的安全,而全局的安全则是由很多个层次来构成的,所以技术的积累是很重要的,量到一定程序就会产生质变。
    一个程序从不同的角度上看会有不同的结果,所以可能和你所想要的有点偏差。我只是把我个人的想法进行一个表述,并希望通过实践来得出它是可行的,也不希望有误倒读者的意思。自己衡量这个标准。
    攻击情形假设:
    1、非法用户通过非法手段得到权限并进行入侵攻击
    2、上传程序到网站目录,由于用户所获得的权限为www,而www的权限是在整个程序目录,所以活动目录为主程序目录。
    3、上传X马到主程序并得到解释后进行进一步提权。(这时已经可以得到全部网站数据了)
    一般的web程序是不会老是变动的,而且会有一个固定的框架。
    1、所有主程序目录(web主程序)
    2、图片上传目录以及资料上传目录
    3、有时候会有cache的目录存在
    4、数据库会存储相当可观的数据,并进行实时调用(此为表述)
    根据我们在web服务器安全浅谈上进行理论操作,即为可写不可读,可读不可写。(此处指的是动态语言)但有时候环境不得不让你可读而且可写,比如我们的cache目录,或者你可以放到别的服务器上,让他们分开。更或者......
    下为针对上方需求所设想:
    1、此项为可读不可写,因此为予权限为www用户可读禁止写入。
    2、此项为可写不可读,测试过不给读权限也可以调用图片。(或者采用3的方法)
    3、此项为要可写也要可读,那么我们的方法是利用web服务器程序进行禁止解释
    4、此为数据库安全。与本题无关。
    然后我们针对以上方案进行一个实例的测试。
    程序目录结构如下:


      [root@bogon data]# tree . |-- cache |   `-- index.htm |-- image |   `-- 220903335.jpg |-- index.php `-- upload
    •     `-- test.rar
    Cache为缓存,image为图片上传目录,upload为文件上传目录,当前目录为主站程序目录。
    先进行测试访问。
    三个都是可以被web程序所解释的。

    设置全站权限:
    x是代表可执行也是WEB程序nginx可执行


      [root@bogon data]# ll total 16 drwx------ 2 www www 4096 Jun  5 03:22 cache drwx------ 2 www www 4096 Jun  5 03:22 image -rwx------ 1 www www   21 May 31 02:13 index.php
    • drwx------ 2 www www 4096 Jun  5 03:22 upload
    修改Nginx.conf配置需求

          location ~* ^/(cache|image|upload)/.*\.(php|php5|PHP|PHP5)$     {     deny all;    
    • }
    重启nginx
    最终结果,清缓存。
    应用程序正常业务

    静态文件目录非法上传非法文件。

    主程序只给可读可执行的命令。所以一般情况下无法被写入。我们的安全等级提高了一点点。配合其它的手段使安全得到更多的保障!
    附:nginx.conf 禁止解释的代码,学过正则的都看的懂。
    -------------------------------------------------


      location ~* ^/(cache|image|upload)/.*\.(php|php5|PHP|PHP5)$ { deny all;
    • }
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-23 20:21 , Processed in 0.020318 second(s), 12 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部