在windows上搭建web站点.ppt_第1页
在windows上搭建web站点.ppt_第2页
在windows上搭建web站点.ppt_第3页
在windows上搭建web站点.ppt_第4页
在windows上搭建web站点.ppt_第5页
已阅读5页,还剩21页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

在windows上搭建web 站点, 2011.7,Web站点的基本概念,网络服务 DNS、FTP、web server、Database 网站安全 操作系统、web服务、数据库、应用脚本 访问质量 web访问速度、服务在线率,一个基本完整的web站点,Web APP server,DNS server,FTP server,Database server,Mail server,Window2003 server Linux server,ASP/PHP/JSP/ASP.net,Web站点:,DNS解析域名,FTP上传文件,CPU/memory File IO,质量 安全,建立DNS服务,DNS的基本原理 什么是dns、解析原理 在Windows上建立dns服务 Windows server自带的dns服务 操作 查询和验证dns Nslookup、dig,DNS的基本原理,Domain Name Server 域名服务 提供域名与IP的对应关系 - 9 由dns服务器提供分级查询服务 IN NS - Windows DNS server 与 bind,DNS的基本原理,NS: ,NS: ,NS: S,在windows2003s上建立dns服务,查询和验证DNS服务,Nslookup 用来查询域名信息的工具 nslookup Server set type=mx Dig 更加灵活和强大的dns查询工具 Dig mx Dig mx +trace,建立ftp服务,ftp传输简介 使用Window上自带的ftp服务 使用开源的FileZilla建立ftp服务,FTP服务简介,File Transfer Protocol 是用来文件传输的一种标准协议 使用TCP 21和TCP 20端口,21端口用于传输命令控制,20端口用于数据传输。 主动模式和被动模式 断点续传 开源ftp工具:FileZilla,使用windows2003s自带的ftp服务,使用Filezilla server建立ftp服务,建立web服务,Web服务器的原理 利用IIS建立web服务 web发布、支持动态脚本(asp、php、) 利用IIS实现虚拟主机 虚拟主机 Web日志的利用和分析 webalizer、awstat,web服务器的基本原理,在windows2003s上安装IIS,利用IIS发布一个网站,让IIS支持php动态脚本,在一台IIS上建立多个虚拟站点,IIS站点web日志的管理与分析,为每个站点保存独立的web日志 每天一个日志 独立目录,定期检查 web日志分析 webalizer/awstat 自动生成分析报表,在windows上自动分析weblog,安装webalizer download / 编辑配置文件 webalizer.conf 建立批处理文件分析日志 ECHO OFF set now=%date:0,4%date:5,2%date:8,2% CALL C:webalizerwebalizer.exe D:logsaccess_%now%.log 加入自动计划,Web站点安全,Windows系统安全 IIS的安全 脚本安全问题 Sql-inject、XSS跨站攻击 数据备份,IIS的安全工具,Microsoft官方提供的Urlscan /download/urlscan 屏蔽不合理的web请求 减轻sql-inject攻击 记录符合规则的攻击日志 每个web站点和目录使用独立的用户帐号 不使用不安全的IIS组件,一次sql-inject的过程,more.php?id=1 and (select ascii(substr(database(),2,1) )108 and 1=1 第三步,通过数据库和表名在mysql系统表里探测字段名称 more.php?id=1 and (select ascii(substr(user_pwd,3,1) from (select * from (select * from admin where 1=1 order by 1 limit 2,1) t order by 1 desc)t limit 1)56 and 1=1 第四步,得到了字段名user_pwd后,仍用每字符ascii吗的方式探测字段内容 more.php?id=1 and (select ascii(substr(user_name,4,1) from (select * from (select * from admin where 1=1 order by 1 limit 2,1) t order by 1 desc)t limit 1)128 and 1=1 第五步,同上,探测user_name的字段内容 通过上面的几个步骤基本可以拿到应用程序中的账号密码,然后试图进入管理界面后通过upload shell等方式进一步得到系统权限。,一次sql-inject的实际处理,处理过程: 1、分析web日志,根据被修改页面URL追查入侵路径 2、锁定存在sql-inject漏洞的脚本,向开发人员提出修改意见 3、在脚本中加强Get变量验证函数,过滤非法变量内容; 3、在web server上添加rewrite规则,过滤特殊sql-inject字符的URL访问 4、文件存档、安全报告。 我们在Apache中做的一些简单rewrite设置: RewriteEngine On RewriteBase / RewriteCond %QUERY_STRING %20and%20 NC RewriteCond %QUERY_STRING select%20 NC RewriteRule (.*) /519.html R URL变量中包含and和select的请求,全部定向到错误提示页面。,一次DNS流量异常的处理,20

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论