安全策略

如果Z不是路由器，能否考虑组合使用ICMP重定向以及ARP欺骗等技术？没有仔细分析过， 只是随便猜测而已。并且与A、B、Z之间具体的网络拓扑有密切关系，在某些情况下显然大幅 度降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的，不局限于局域网，这也正是 这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell，对于许多高级入侵者

有些邮件杀毒系统在查出病毒后，会对带毒邮件进行打包，然后再以附件的形式发送到用户的邮箱中，让用户选择是删除还是打开。这是一种极其幼稚可笑的做法，即然明知是带毒邮件，用户又怎敢冒险打开？但如果不打开而直接删除，用户又怎能得知邮件内容？

防火墙实现了你的安全政策。防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么现在就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙

如果你的身边躲藏有攻击的人，要做到对他们的防范难上加难。因为他们甚至可以用如下方法获得你的根权限：攻击者首先用引导磁盘来启动系统，然后mount你的硬盘，改掉根口令，再重启动机器。此时攻击者拥有了根口令，而作为管理员的你却被拒之门外。要避免此类情况的发生，最简单的方法是改变机器中BIOS的配置，使机器的启动顺序改为硬盘第一序，

　值得庆幸的是那毕竟是电影现实还是人类的天下天空依旧很蓝阳光依旧灿烂。我现在期望的是高度智能化的机器网络永远不要出现但是核战争的威胁却是时刻存在的。说不定哪天我起床看到的就是和黑客帝国里面描述的核战争以后的地球。当然我也就从此解脱了不用再这么早就爬起来上班也不用这么晚才回家也不用看着还算过去的的薪水自嘲所谓的IT白领却连

　不要把file权限给所有的用户。有这权限的任何用户能在拥有mysqld守护进程权限的文件系统那里写一个文件！为了使这更安全一些，用SELECT ... INTO OUTFILE生成的所有文件对每个人是可读的，并且你不能覆盖已经存在的文件。file权限也可以被用来读取任何作为运行服务器的Unix用户可存取的文件。这可能被滥用，例如，通过使用LOAD DATA装载“/etc

在防火墙上，应截止从端口135到142的所有TCP和UDP连接，这样有利于控制。最安全的方法是利用代理（Proxy）来限制或者完全拒绝网络上基于SMB的连接。SMB是指服务消息块（ServerMessageBlock）。SMB有很多尚未公开的“后门”，能不用授权就可以存取SAM和NT服务器上的其他文件。SMB协议允许远程访问共享目录，Registry数据库，以及其他一些系统服务

Windows 2000操作系统自带了审核工具，默认不开启。如果一旦开启了审核策略，用户可以在事件日志里查看安全日志，里面会有详细的审核记录，审核通常为成功和失败两种。不过，建议平时不要常开安全审核，因为审核量很大，通常一个错误的密码输入就可以在日志中记录一页多的条目，非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开

CGI的安全

　一个好的建议就是多看安全文章，这些安全文章一般都会有详细的信息如软件的版本号、漏洞原因等等，最重要的是还附带了解决办法或者是补丁的下载链接，推荐的安全站点是国内的安全站点www.cnns.net或者国外的www.securityfocus.com站点；另外一个好的建议就是多装补丁程序，访问自己所使用的软件公司主页，从那上面获得最新的补丁程序，做得比

2000下面的服务默认是Everyone完全控制的，这就造成了2000下面的安全隐患，记得某款清除日志的软件就是靠停掉IIS服务来达到删除日志记录的目的吧；另外如果服务器的服务不限制权限的话万一你的服务器有什么漏洞，就算对方没有拿到管理员的权限…想必大家也都清楚意味着什么了吧。

「只要是程序，没有不出bug的！」，建立一套安全的系统，绝对不仅止于选择一套安全的操作系统或网络环境，否则再安全的系统，也总有一天会被入侵者找出致命的弱点。在系统管理者与入侵者间的这场战争里，入侵者的优势是对网络及系统的了解，而成功的入侵者更有超人的耐性，能忍受不断的尝试与失败。而管理者则拥有合法且完整的系统使用权，所

本文仅试用于运行IIS 4.0的NTS 4.0系统，如果服务器上还有其他的应用（比如Cold Fusion），那么必须同时保证这些应用本身的安全。下面所述的方法应该在安装新系统时进行，以避免不可预知的结果出现。另外需要注意的是，这种方法不应该在内部网络上（比如文件服务器）使用，因为它删除了一些NT常用的默认服务。

　如果客户的ip对应有域名，那么DNS查询会返回其域名。服务器端得到 这一机器名后会将其记录下来并传递给应用程序，于是我们可以看到有人 上bbs 来自argo.zsu.edu.cn，其实她来自202.116.64.6——“逸仙时空”BBS。

防火墙是网络上使用最多的安全设备，是网络安全的重要基石。防火墙厂商为了占领市场，对防火墙的宣传越来越多，市场出现了很多错误的东西。其中一个典型的错误，是把防火墙万能化。但2002年8月的《计算机安全》中指出，防火墙的攻破率已经超过47%。正确认识和使用防火墙，确保网络的安全使用，研究防火墙的局限性和脆弱性已经十分必要。

前日无聊，在baidu里找了下“ASP安全”，结果却查到N多入侵的教程而安全配置的资料相对很少很少，介于现在的文章都是教 怎么入侵，那我就献丑下，把我自己如何防护的方法说一下吧.。更希望能引出更多的安全防范方面的讨论。 我现在所假设的是asp整站系统+access数据库的情况，至于SQL+asp的，风清扬有过发表，高手的二篇文章真的精彩极 了；可

如何更好的达到防范SQL Injection的攻击？这里我个人给推荐几个办法，第一，免费程序不要真的就免费用，既然你可以共享原码，那么攻击者一样可以分析代码。如果有能力的站长最好还是更改一下数据库表名，字段名，只修改关键的admin, username, password就可以了，比如forum_upasswd 这样的字段名谁能猜到？如果你猜到了，最好赶快去买彩票吧，特

IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择，我选择了一个被称作WhosOn的软件，它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe，你可以选择拒绝这个用户访问Web服务器。当然，在一个繁忙的Web站点，这可能需要一个全职的员工！然而，在内部

有些软件中夹杂特殊处理程序，这些程序会在您机器启动或某个长期运行的进程启动时开始工作。它们会将您机器上的内容，包括键盘的输入等信息传递到远端的监控人面前，从而，您在不知不觉中丢失了自己的口令。

目前在黑客横行的互联网空间中,利用IIS的漏洞,提申自己的权限,而成为AD,这些只是轻而易举的事情,这不需要花几天的时间去暴力破解一下口令,像自己架设的WEB服务器有种情况,更是数不甚数了.关于怎利用UNICODE漏洞去提供AD权限的文章,网上太多了,我就不多讲了. 这些来说应该是服务器安全防范方面的一个例子而已,真正要做到服务器的安全运行,需要你