SQL数据库安全 既然是我们的防范是从入侵者角度来进行考虑，那么我们就首先需要知道入侵者的入侵方式。目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权，进而拿下服务器权限的。所以配合服务器来设置防止webshell是有效的方法。 [img src="http://catf.me/photos/1bd301bab9ac97709464175f824845cd.jpg" width="530" height="373"] 应当说，有一点网络安全的管理员，都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心，拿到程序直接在自己的服务器上进行安装，甚至连说明文件都不进行删除，更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序，然后在本地测试找到默认的数据库，再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径，那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。如下图所示： 　　打开IIS添加一个MDB的映射，让mdb解析成其他下载不了的文件：“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析，至于用于解析它的文件大家可以自己进行选择，只要访问数据库文件出现无法访问就可以了。 　　这样做的好处是：1只是要是mdb后缀格式的数据库文件就肯定下载不了；2对服务器上所有的mdb文件都起作用，对于虚拟主机管理员很有用处。 　　二、防止上传 　　针对以上的配置如果使用的是MSSQL的数据库，只要存在注入点，依然可以通过使用注入工具进行数据库的猜解。倘若上传文件根本没有身份验证的话，我们可以直接上传一个asp的木马就得到了服务器的webshell。 　　对付上传，我们可以总结为：可以上传的目录不给执行权限，可以执行的目录不给上传权限。Web程序是通过IIS用户运行的，我们只要给IIS用户一个特定的上传目录有写入权限，然后又把这个目录的脚本执行权限去掉，就可以防止入侵者通过上传获得webshell了。 配置方法：首先在IIS的web目录中，打开权限选项卡、只给IIS用户读取和列出目录权限，然后进入上传文件保存和存放数据库的目录，给IIS用户加上写入权限，最后在这两个目录的“属性”—“执行权限”选项把“纯脚本”改为“无”即可。见下图 　　最后提醒一点，在你设置以上权限的时候，一定要注意到设置好父目录的继承。避免所做的设置白费。 三、MSSQL注入 [img src="http://catf.me/photos/bb0bc8c1c76c12613a66be5e108c02e3.jpg" width="510" height="317"] 对于MSSQL数据库的防御，我们说，首先要从数据库连接帐户开始。数据库不要用SA帐户。使用SA帐户连接数据库对服务器来说就是一场灾难。一般来说可以使用DB_OWNER权限帐户连接数据库，如果可以正常运行，使用public用户最安全的。设置成dbo权限连接数据库之后，入侵者基本就只能通过猜解用户名和密码或者是差异备份来获得webshell了，对于前者，我们可以通过加密和修改管理后台的默认登陆地址来防御。对于差异备份，我们知道它的条件是有备份的权限，并且要知道web的目录。寻找web目录我们说通常是通过遍历目录进行寻找或者直接读取注册表来实现。无路这两个方法的哪一种，都用到了xp_regread和xp_dirtree两个扩展存储过程，我们只需要删除这两个扩展存储就可以了，当然也可以把对应的dll文件也一起删除。　　但是如果是由于程序出错自己暴出了web目录，就没有办法了。所以我们还要让帐户的权限更低，无法完成备份操作。具体操作如下：在这个帐户的属性—数据库访问选项里只需要对选中对应的数据库并赋予其DBO权限，对于其他数据库不要操作。接着还要到该数据库—属性—权限把该用户的备份和备份日志的权限去掉，这样入侵者就不能通过差异备份获得webshell了。

端口映射其实就是我们常说的NAT地址转换的一种，其功能就是把在公网的地址转翻译成私有地址， 采用路由方式的ADSL宽带路由器拥有一个动态或固定的公网IP，ADSL直接接在HUB或交换机上，所有的电脑共享上网。这时ADSL的外部地址只有一个，比如61.177.0.7。 而内部的IP是私有地址，比如ADSL设为192.168.0.1,下面的电脑就依次设为192.168.0.2到192.168.0.254。 在宽带路由器上如何实现NAT功能呢？一般路由器可以采用虚拟服务器的设置和开放主机(DMZ Host)。虚拟服务器一般可以由用户自己按需定义提供服务的不同端口，而开放主机是针对IP地址，取消防火墙功能，将局域网的单一IP地址直接映射到外部IP之上，而不必管端口是多少，这种方式只支持一台内部电脑。 最常用的端口映射是在网络中的服务器使用的是内部私有IP地址，但是很多网友希望能将这类服务器IP地址通过使用端口映射能够在公网上看到这些服务器，这里，我们就需要搞清楚所用服务的端口号，比如，HTTP服务是80，FTP服务则是20和21两个端口。 这里我们以最常用的80端口为例，设置一个虚拟HTTP服务器，假设内部HTTP服务器IP地址为10.0.0.10。 第一步，在浏览器中输[link url="http://10.0.0.2"]，进入其他配置页面，修改HASB-100本身HTTP服务端口，不建议关闭，因为通常使用WEB设置HASB-100，将HTTP服务器端口修改为81。 提交并重新启动。 第二步，打开HASB-100控制页[link url="http://10.0.0.2:81"] 进入虚拟服务器页面，依次填入公共端口号80，私有端口号80，端口类型为TCP，主机IP地址10.0.0.10。 完毕后点击“增加该设置”，然后保存并重新启动HASB-100，设置就完成了。这个时候外网的通过在IE中输入HASB-100的IP地址就可以访问到内部的10.0.0.10了，当然10.0.0.10要把HTTP服务打开。 再讲一下开FTP的虚拟服务器，注意FTP是两个端口，20和21，两个都要作映射，方法也跟上面的一样。 首先，在其他配置页中将HASB-100的FTP服务关闭。 提交并保存。然后在虚拟服务器页中添加两条映射就可以了，跟HTTP的一样，这里就不多说了。 在其它设置项里，有项DMZ设置，默认是关闭的，必须打开才能开启局域网内虚拟服务器的功能。 进入路由器，点击“其他设定”->“NAT”->“添加”。 规则类型选择“REDIRECT”。 协议选择“TCP”。 本地地址输入您的电脑地址，如“192.168.0.2”。 起始目的端口选择“HTTP80”，如果映射其他端口，请选择“任意其他端口”，并在右边输入端口号。 终止目的端口，设成和起始目的端口相同。如果要映射一个端口范围，如“60000-60020”，可把起始目的端口设置为60000，终止目的端口设置为60020。 最后，点击提交。在主菜单中点advanced，接下来的菜单中有个forwarding，以在内部pc192.168.1.2上架设webserver为例设置如下： extport:80to80 ipaddress:192.168.1.2 然后点击“apply”就可以了

FF+tor翻的我想吐，GFW，早晚要搞定你 先不发牢骚，首次使用CF，恩，就这么简称了，感觉不错，TW一般简单自如 总不至于我一口老血又飙到键盘上吧 总之新人报道，希望多多关照，谢谢 [img src="http://catf.me/photos/fa1c27aebac5920583d4e74b8c2e1849.jpg" width="519" height="170"]