版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、在windows上搭建web 站點(diǎn),wp1998@gmail.com 2011.7,Web站點(diǎn)的基本概念,網(wǎng)絡(luò)服務(wù)DNS、FTP、web server、Database……網(wǎng)站安全操作系統(tǒng)、web服務(wù)、數(shù)據(jù)庫、應(yīng)用腳本……訪問質(zhì)量web訪問速度、服務(wù)在線率……,一個(gè)基本完整的web站點(diǎn),Web APP server,DNS server,FTP server,Database server,Mail server,Windo
2、w2003 serverLinux server,ASP/PHP/JSP/ASP.net,Web站點(diǎn):www.test.com,,DNS解析域名,FTP上傳文件,,,,,,,CPU/memoryFile IO,質(zhì)量安全,建立DNS服務(wù),DNS的基本原理什么是dns、解析原理在Windows上建立dns服務(wù)Windows server自帶的dns服務(wù)操作查詢和驗(yàn)證dnsNslookup、dig,DNS的基本原理,Dom
3、ain Name Server 域名服務(wù)提供域名與IP的對應(yīng)關(guān)系www.e21.edu.cn -> 219.139.243.39由dns服務(wù)器提供分級查詢服務(wù)e21.edu.cn IN NS dns.e21.edu.cndns.e21.edu.cn -> 211.67.64.8Windows DNS server 與 bind,DNS的基本原理,NS:ns.edu.cn,NS:dns.e21.edu.cn
4、,NS:Szdns.sz.e21.edu.cn,在windows2003s上建立dns服務(wù),,查詢和驗(yàn)證DNS服務(wù),Nslookup 用來查詢域名信息的工具nslookupServer 211.67.64.8set type=mxe21.edu.cnDig 更加靈活和強(qiáng)大的dns查詢工具Dig @211.67.64.8 mx e21.edu.cnDig @211.67.64.8 mx e21.edu.cn +trace,
5、建立ftp服務(wù),ftp傳輸簡介使用Window上自帶的ftp服務(wù)使用開源的FileZilla建立ftp服務(wù),FTP服務(wù)簡介,File Transfer Protocol 是用來文件傳輸?shù)囊环N標(biāo)準(zhǔn)協(xié)議使用TCP 21和TCP 20端口,21端口用于傳輸命令控制,20端口用于數(shù)據(jù)傳輸。主動(dòng)模式和被動(dòng)模式斷點(diǎn)續(xù)傳開源ftp工具:FileZilla,使用windows2003s自帶的ftp服務(wù),,使用Filezilla server
6、建立ftp服務(wù),,建立web服務(wù),Web服務(wù)器的原理利用IIS建立web服務(wù)web發(fā)布、支持動(dòng)態(tài)腳本(asp、php、asp.net)利用IIS實(shí)現(xiàn)虛擬主機(jī)虛擬主機(jī)Web日志的利用和分析webalizer、awstat,web服務(wù)器的基本原理,在windows2003s上安裝IIS,,利用IIS發(fā)布一個(gè)網(wǎng)站,,讓IIS支持php動(dòng)態(tài)腳本,,在一臺IIS上建立多個(gè)虛擬站點(diǎn),,IIS站點(diǎn)web日志的管理與分析,為每個(gè)站點(diǎn)保存獨(dú)立
7、的web日志每天一個(gè)日志獨(dú)立目錄,定期檢查web日志分析webalizer/awstat自動(dòng)生成分析報(bào)表,在windows上自動(dòng)分析weblog,安裝webalizer download http://www.webalizer.org/編輯配置文件 webalizer.conf建立批處理文件分析日志@ECHO OFFset now=%date:~0,4%%date:~5,2%%date:~8,2%CALL C:\
8、webalizer\webalizer.exe D:\logs\access_%now%.log加入自動(dòng)計(jì)劃,Web站點(diǎn)安全,Windows系統(tǒng)安全I(xiàn)IS的安全腳本安全問題Sql-inject、XSS跨站攻擊數(shù)據(jù)備份,IIS的安全工具,Microsoft官方提供的Urlscanhttp://www.iis.net/download/urlscan屏蔽不合理的web請求減輕sql-inject攻擊記錄符合規(guī)則的攻擊日志
9、每個(gè)web站點(diǎn)和目錄使用獨(dú)立的用戶帳號不使用不安全的IIS組件,一次sql-inject的過程,more.php?id=1 and (select ascii(substr(database(),2,1)) )108 and 1=1第三步,通過數(shù)據(jù)庫和表名在mysql系統(tǒng)表里探測字段名稱more.php?id=1 and (select ascii(substr(user_pwd,3,1)) from (se
10、lect * from (select * from admin where 1=1 order by 1 limit 2,1) t order by 1 desc)t limit 1)>56 and 1=1第四步,得到了字段名user_pwd后,仍用每字符ascii嗎的方式探測字段內(nèi)容more.php?id=1 and (select ascii(substr(user_name,4,1)) from (select * f
11、rom (select * from admin where 1=1 order by 1 limit 2,1) t order by 1 desc)t limit 1)>128 and 1=1第五步,同上,探測user_name的字段內(nèi)容通過上面的幾個(gè)步驟基本可以拿到應(yīng)用程序中的賬號密碼,然后試圖進(jìn)入管理界面后通過upload shell等方式進(jìn)一步得到系統(tǒng)權(quán)限。,一次sql-inject的實(shí)際處理,處理過程:1、分析w
12、eb日志,根據(jù)被修改頁面URL追查入侵路徑2、鎖定存在sql-inject漏洞的腳本,向開發(fā)人員提出修改意見3、在腳本中加強(qiáng)Get變量驗(yàn)證函數(shù),過濾非法變量內(nèi)容;3、在web server上添加rewrite規(guī)則,過濾特殊sql-inject字符的URL訪問4、文件存檔、安全報(bào)告。我們在Apache中做的一些簡單rewrite設(shè)置:RewriteEngine OnRewriteBase /RewriteCond %{
13、QUERY_STRING} %20and%20 [NC]RewriteCond %{QUERY_STRING} select%20 [NC]RewriteRule ^(.*) http://www.e21.cn/519.html [R]URL變量中包含and和select的請求,全部定向到錯(cuò)誤提示頁面。,一次DNS流量異常的處理,2009年5月,暴風(fēng)影音事件期間。日常巡檢中發(fā)現(xiàn)近一段時(shí)間內(nèi)DNS A類查詢量非常大,200次/s
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- windows_server_2003教程搭建篇第8章搭建web服務(wù)器
- windows上搭建安卓的java開發(fā)環(huán)境
- windows下svn服務(wù)器與web站點(diǎn)的同步-
- Web日志挖掘在優(yōu)化教育站點(diǎn)的應(yīng)用.pdf
- 訪客關(guān)系管理在web站點(diǎn)上的應(yīng)用研究.pdf
- 項(xiàng)目2搭建和管理本地站點(diǎn)
- windows_server2008域環(huán)境搭建
- 【精選】windows環(huán)境下搭建discuz論壇步驟
- 2003搭建web服務(wù)器
- windows2003之搭建ftp服務(wù)器
- windows平臺下實(shí)現(xiàn)搭建openvpn虛擬專用網(wǎng)絡(luò)
- 基于本體的Web站點(diǎn)建模.pdf
- windows server 2008r2搭建11204 oracle rac
- windows平臺下實(shí)現(xiàn)搭建openvpn虛擬專用網(wǎng)絡(luò)
- windows server 2008r2搭建11204 oracle rac
- 基于Web日志挖掘技術(shù)的智能Web站點(diǎn)研究.pdf
- [教育]浙教版信息技術(shù)八上_14建立網(wǎng)站站點(diǎn)
- [教育]在windows網(wǎng)絡(luò)中使用nat及proxyserv
- 基于web挖掘的自適應(yīng)站點(diǎn)研究.pdf
- 基于WEB挖掘的站點(diǎn)設(shè)計(jì)的研究.pdf
評論
0/150
提交評論