yg8295495 - 2010/9/13 17:02:00
我相信来这个论坛的都是PA的使用者,其中为自己公司做网站的不在少数
如果个人用户,被黑了影响也不大,那么企业和公司网站呢?
我在论坛上搜索了很多关键字,给我的反馈是没有相关资源,比如出错页面重定向,URL检查,防下载等
官方在安全方面到底是做了哪些工作我们没有了解的途径,自己想做安全加固也不好做
据我简单测试,基本的url 检查应该是有的 1=1 ' 等GET应该是被过滤掉了
页面重定向是系统默认,需要大家更改IIS出错反馈页面,各种错误的反馈信息
防下载对MDB,.config和acsx文件是有做的
数据库做的是无加密只允许本地127.0.0.1对其读写
除此之外,我在IIS管理器中删除无用映射,目前仅保留了.config .shtml .shtm .aspx .mdb
是否还能更加精简?
不需要留言反馈页面的网站可以将IIS匿名访问用户权限设置为只读,否则开放写入权限,其他用户取消父继承后删除其对网站的访问权限,administrator用户拥有所有权限
暂时想到这么多,仅关于IIS的,至于系统加固网上资源大把我就不多说了
最后:希望版主或者官方能有一个PA已有安全设置的说明,我想这还是非常必要的!
yg8295495 - 2010/9/14 17:06:00
没人回复?
这边急着做安全加固。。帮帮忙
xcrane - 2010/9/15 10:16:00
不错,你都想到这些了,是在公司服务器上做的IIS,FTP不要对外开放,即使开放也不要映射到网站目录
内部服务器对外前段安装防火墙,最好是硬件的
服务器上不必要的全部服务全部关闭
PA的漏洞我们就没办法了