首页 > 安全 > 系统安全 >

论坛的安全配置指引--节选

2004-10-01

论坛的安全配置 由于本人掌握的技术和爱好原因,这个部分会讲得特别详细。 首先说说ASP论坛的数据库问题,在数据库里存放了整个论坛的所有数据,包括用户的敏感信息,这是非常危险的,这时我们就面临一个防数据下载的问题,其实真正

论坛的安全配置

由于本人掌握的技术和爱好原因,这个部分会讲得特别详细。
首先说说ASP论坛的数据库问题,在数据库里存放了整个论坛的所有数据,包括用户的敏感信息,这是非常危险的,这时我们就面临一个防数据下载的问题,其实真正做到防下载有两个办法:
请看下面的目录结构

E > user > sangel> |database web > bbs
|sangel
|log

USER目录是存放所有客户的目录,sangel目录是sangel这个客户的FTP目录,也就是说sangel通过软件FTP上服务器所看到的根目录,Web目存放所有站点文件的目录,也就是输入域名可以直接访问的目录。BBS是放论坛的目录,database用于放各种程序的数据库,录然也包含了论坛数据库,先将数据库上伟至database目录,把论坛的所有文件上传至bbs目录,然后修改数据库配置文件conn.asp(或其它)里面的路径,改为“../../ database/bbsdatabasenodown.MDB.”就可以调用数据库了,由于database目录是不能够被直接访问的,所以管理员得事先做好这样的目录结构才能行得通,这时又有了第二种办法,把数据库改名为*.asp.在conn.asp里改相关地方,这样也可以防下载,其实每套论坛程序都有安全方面的说明,大家可以自行参阅。

然后就是配置论坛的问题,除开bbsxp论坛,其他论坛的配置工作是相对繁琐的,特别新版动网和VBB还有CDB,就像设置一个操作系统一样,要提高效率则要好好配置,要让整个论坛更安全,更要好好配置。
HTML标签是一定要无条件禁止的,不管论坛用于什么目的,否则有些不怀好意的人,放个<iframe>标签,只要设法让服务上的浏览器访问,就可以在服务器建立一个用户,并且有办法提升权限,到时整个服务器的用户都会受危胁,不是危言耸听,是千真万确的事实。

FLASH标签也是要禁止的,因为FLASH作为矢量动画的佼佼者,因此不少病毒都在利用FLASH传播,如果在FLASH里做个“get url”就可以在你不知情的情况下打开一个新页面,引你进入带有恶意代码、病毒或是木马的页面,你痛苦不?我做了个swf,里边有这个功能,但进入的是我的论坛,大家有兴趣可以看http://www.sangel.net/1.swf

然后是上传文件的设置,有些论坛设有完整的语句过滤代码,使得入侵者只要构造一句特殊的指令便能上传系统不允许上传的文件类型,谁也不能确保这种情况不会出现在自己所使用的论坛程序上,只要能上传asp或php程序,服务器就有可能被攻占,所以要禁止上传,如果确实要上传附件功能,那么请限制上传文件大小和文件类型,大小限制在20K以内,文件只允许Gif.Jpg.Png.Doc.Wps.Zip.Rar就可以了。

在语句的过滤和用户的过滤设置里,把一些系统命令的名称都过滤掉,比如SYSTEM.FILE.DIR.CMD.FORMAT等,大家还记不记得以前BBS3000存在一个这样的漏?注册一个dir用户,系统会生成一个dir.cgi的文件,当用internet浏览器访问该文件时,竟出现了该主机的目录列表,现在的论坛没有了这漏洞,但液屯不能肯定什么时候又冒出什么新问题。

对于用户的权限也是要非常重视的,因为有些总坛主看到稍有实力的人或上比较能灌的人就给他加权限,甚至给熟人、朋友、情人加权限,这是规模小的论坛通病,是非常不可取的,通过我小规模的调查,只有15%的安全意识进高的,给那85%的人加权限,这些人又不妥善保管自己的密码,给论坛的安全又带来一点威胁,所以加别人权限时一定要看看这个人的安全意识怎么样,而且还要严格控制权限,使他不能做职责以外的事。

可能的话装些插件以增加安全性,比如随机认证码插件,让用户每次登陆都要输入随机认证码,这样可以防止不怀好意的人用“溯雪”一类的工具破解用户密码。

这样的论坛才可以说是比较安全的,关于论坛的安全配置就谈到这,说不定你比我做得更好

相关文章
最新文章
热点推荐