木马概述
一类恶意程序。多不会直接对电脑产生伤害,而是以控制为主。

网页木马(SPY)
表面上伪装成普通的网页文件或是将恶意的代码直接插入正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

另一种是,通过网站的安全漏洞或社会工程学原理将一个web版的spy程序放置在网站的某目录中。

网页spy的主要表现形式及危害
读取,下载网站,服务器系统内部敏感文件,非法获取数据
修改删除网站,服务器系统内部重要文件,破坏网站或服务器系统,使得网站或服务器系统无法正常工作。或篡改重要内容,欺骗访问者或破坏网站公司形象。
修改网站程序,向网站页面挂马,造成访问者的电脑系统被植入木马程序
获取服务器的高级权限,控制服务器,进行非法行为。
将web服务器做为跳板入侵公司组织内部系统。

网页木马主要原理
通过文件上传的安全漏洞或通过社会工程学原理,向网站内放置非法的*.asp,*.php,*.aspx...文件
确认文件所在目录有执行权限,以确保上述文件可被web服务器执行
确认放置的非法网页程序,具有文件读取,修改,删除等权限
确认放置的非法网页程序,是否可以执行特殊的系统命令
确认服务器上是否安装了可能有漏洞的软件/服务程序
利用放置的非法网页程序执行非法操作

主要防御手段
IIS不要开启写入权限
网站的文件上传程序,要具有一定的安全过滤能力
上传文件的存储目录在IIS中不允许执行脚本
不需要动态修改的文件或目录,最好设置为只读。
有安全风险的网站将其设置在独立的应用程序池中
应用程序池的执行身份最好是单独设置的用户,以便隔绝不同应用程序池之间的访问权限,该用户的系统权限尽量放低(比如说不允许执行高极的系统命令)
文件系统使用NTFS格式,并设置好足够的最小权限。
数据库服务部允许本地账号直接访问,尤其是不允许管理员身份
建议不允许当前往站的数据库用户具有XP-Shell的执行权限
尽量避免安全具有安全风险的第三方软件,例如Serv-U等
若是IIS7.5,建议将应用程序池标识设置为Application PoolIdentity

转载于:https://www.cnblogs.com/tongzhiyong/archive/2010/03/07/1680220.html

ASP.NET开发实践系列课程之Web应用的安全攻防之网页木马相关推荐

  1. flask python web开发 可视化开发_Python + Flask 项目开发实践系列六

    今天开始我们讲讲Flask Web实践项目开发中的查看详情功能是如何实现的. Step1:html 部分 lists +="<tr>"+ //拼凑一段html片段 &q ...

  2. python web开发项目 源码_Python + Flask 项目开发实践系列七

    对于 Python + Flask 这种灵活的web开发框架,在前面的六个系列文章中详细的进行了说明,主要讲到了页面的首页加载时的页面渲染,增加功能,删除功能,修改功能,查询功能,查询详情功能等一些页 ...

  3. ASP.NET MVC实践系列9-filter原理与实践

    filter实际上是一个特性(attribute),它提供了一种向controller 或 action中添加某些任务的方法,当controller 或 action被调用时,会触发filter中定义 ...

  4. ASP.NET MVC实践系列11-FCKEditor和CKEditor的使用

    FCKEditor是一款强大的在线编辑器,简单实用,多浏览器兼容,免费开源,应用十分广泛,据他的官方网站上称有三百多万的下载量,而且无数的知名大公司正在使用它.所以FCKEditor是很值得信赖的,现 ...

  5. 视频教程-Java工程师必学系列课程之4--《Java Swing》视频课程-Java

    Java工程师必学系列课程之4--<Java Swing>视频课程 某知名科技公司技术总监,10年以上大型J2EE项目的实战研发经验,参与并主持开发"内蒙古电力集团考试系统&qu ...

  6. 面向开发人员之ASP.NET开发技术系列课程(视频课程讲师:徐栋)

    面向开发人员之ASP.NET开发技术系列课程(1):JSP开发人员篇--ASP.NET入门与探索.zip 讲座内容: ASP.NET和JAVA是当前软件开发的两大阵营,如何以现有的技术从JAVA开发转 ...

  7. ASP.NET-FineUI开发实践-9(四)

    现在是这么个问题,在开发中表格是动态出来的,就是标准板是全部字段列出,客户要根据情况列出自己想要的,在增加操作页面的同时要是能用前台自带的功能直接保存到后台就好了,现在的列显示和隐藏是不回发的. 1. ...

  8. ASP.NET MVC实践系列6-Grid实现(上)

    ASP.NET MVC中不推荐使用webform的控件了,也就是说当希望列表显示数据时不能使用GridView了,很多开源软件为ASP.NET MVC实现了列表的解决方案,这些具体的解决方案我们放到下 ...

  9. 华为开发者学堂上线《HarmonyOS Connect开发》系列课

    如何将更多设备加入超级终端, 提升对用户意图判断的精准度? 如何让亿亿连接的服务"多而不繁", 促成以用户为中心的自然智慧交互? 万物智联的时代已来临, HarmonyOS新一代智 ...

  10. JavaScript设计模式与开发实践(网课学习)

    Js设计模式与开发实践 面向对象 5大设计原则 23种设计模式(实际只有21种) 设计模式主要分为下面三大类 创建型模式,共五种:工厂方法模式.抽象工厂模式.单例模式.建造者模式.原型模式. 结构型模 ...

最新文章

  1. 2016年定制维护组总结-历程回溯
  2. html egg mac os 10.7,HTML Egg
  3. java打出三角形乘法表_Java 练习(输出三角形,九九乘法表, 100以内的质数)
  4. C语言入门——内功心法
  5. java递归方法建立搜索二叉树,具备查找关键字,插入新节点功能
  6. SpringBoot整合RabbitMQ测试代码
  7. swiper轮播在vue中动态绑定返回的数据图片显示不完整
  8. python类的本质和跨文件全局变量(秒杀单例模式)
  9. 计算机硬件只能通过软件使用,日常软件分享 篇四:还在用鲁大师?查看电脑硬件信息可以用这些免费的软件!...
  10. Rust任务系统、资源跑图、Rust服务器搜索升级、自动售货机等功能更新
  11. itunes备份和恢复速度一样吗_itunes如何备份短信、电话和照片及恢复教程
  12. 目标检测经典论文详解
  13. DMU-单性状重复力模型-学习笔记3
  14. 【代码质量】嵌入式编程节约内存技巧
  15. 正确方法将电子书放到Kindle的documents文件夹,还是看不了书?
  16. nodejs绿色版下载安装及配置淘宝镜像、安装vue脚手架
  17. 判断是否是手机号码的方法
  18. CUDA 10.2及CUDNN下载
  19. Flume-day03_进阶案例
  20. 贪心---排序不等式、绝对值不等式、推公式

热门文章

  1. brctl: command not found
  2. Linux下libaio的一个简单例子
  3. 数据结构 实验三 树的应用
  4. Inno Setup 系列之自定义卸载文件名称的脚本
  5. oracle的sqlplus命令讲解,SQL*PLUS使用 - Oracle sqlplus命令详解_数据库技术_Linux公社-Linux系统门户网站...
  6. mysql 求和_mysql分组求和
  7. Ubuntu20.04下opencv的安装
  8. Python 调用JSON接口实例
  9. navicat 8.0 mysql 名、组织、注册码
  10. 阿里笔试算法题2021