Wabow Information Inc. Blog
分類: 技術分享 作者: daniel
26 五月 2009現代人的生活與網路的關係愈來愈密不可分了,人們從成千上萬的網站中獲取知識;網站向全世界提供服務,這同時意味著我們所設計的網站正赤裸裸的呈現在所有人面前,隨著資訊便利而來的,就是令人擔憂的資訊安全問題。目前常見的攻擊模式分為三大類:
(1)XSS(Cross-site scripting),跨網站指令碼攻擊
(2)SQL injection,SQL資料隱碼攻擊
(3)Code injection,代碼注射
Wiki 解釋的非常詳細,之前 Jace 也曾經針對「PHP 防駭」這個議題做過教育訓練。除了程式要注意漏洞的發生之外,今天介紹的是透過 Apache 的設定,防堵其它內部人員在使用伺服器時,可能發生的資訊安全漏洞。
(1)關閉 Apache 的檔案目錄檢索功能,避免使用者得知網站目錄的階層結構。
一般在沒有關閉的情況下,Apache 會很貼心的把網站目錄結構巨細靡遺的展現在網頁中;對於開發或管理者是非常方便的功能,但是如此一來等於是把自家網站格局大剌剌的公布給惡意使用者知道。
在 httpd.conf 或是 .htaccess 中設定:
Options FollowSymLinks MultiViews
再重新啟動 Apache
(2)確定網站目錄無動態網頁處理時(如:PHP),限制讀取某些特定副檔名的檔案。
並不是所有網站及目錄都需要動態網頁程式的支援,一般靜態網站只是單純的展示內容,並不需要與使用者互動;所以對於不需要解讀動態網頁的目錄,最好是限制某些特定副檔名的檔案。
在 httpd.conf 或是 .htaccess 中設定:
<Order allow,deny> Deny from all </Files>
再重新啟動 Apache
經由此二個步驟防護,即可保障基本的檔案目錄結構不外洩,以及藉由限制動態網頁程式的解讀,有效防止被開啟網站後門並植入木馬。
使用時機及地點:
1. Art 美編人員經常性更新網頁及圖片的目錄被設為 777 時。
2.企畫上傳商品圖檔的目錄被設為 777 時。
3.使用虛擬主機,但不需執行 PHP 程式時。
4.cache 快取目錄。(建議直接設為 deny all)
後記:
這邊介紹的方法只是比較被動的防護,對於資訊安全的維護,需要每個人主動的保持正確觀念;不瀏覽不安全的網頁、不下載來路不明的軟體、定期更換管理者密碼、定期更新防毒軟體病毒碼,不要因為怕麻煩而輕忽怠慢,培養小心謹慎正確的網路使用概念,才是遠離駭客入侵的不二法門唷。