Gateway未来科技

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 166|回复: 0

网站安全狗V3.0—— .NET安全设置及保护实战教程

[复制链接]

258

主题

270

帖子

819

积分

超级版主

Rank: 8Rank: 8

积分
819
发表于 2017-2-27 20:50:26 | 显示全部楼层 |阅读模式
网站安全狗v3.0正式版于2013年5月13日发布(下载地址:http://www.safedog.cn/showProduct.do?helpbbs),此次版本更新了多项功能,如.NET安全模式设置、危险组件防护功能等。下面我们一起来看看.NET安全模式设置。

   网站安全狗V3.0新增的“.net设置-安全模式设置”功能的目的是保证.NET网站的安全,保护网站免遭非法入侵并被入侵者获得网站的信息。

    “.net设置-安全模式设置”包含了以下几种模式,分别是:高级模式、中级模式、低级模式、初级模式。其中,高级模式为安全狗推荐模式。

    下面是各个模式的说明:
高级模式(High):指定高级别的代码访问安全性,这意味着应用程序不能执行下列任何操作:
调用非托管代码;
调用服务组件;
写入事件日志;
访问 Microsoft“消息队列”队列;
访问 ODBC、OleDb 或 Oracle 数据源。

中级模式(Medium):指定中等级别的代码访问安全性,这意味着除了 High 限制外,ASP.NET 应用程序还不能执行下列任何操作:
访问应用程序目录以外的文件;
访问注册表。

低级模式(Low):指定低级别的代码访问安全性,这意味着除了 Medium 限制之外,应用程序还不能执行下列任何操作:
写入文件系统;
调用 Assert 方法来扩展对资源的权限。

初级模式(Minimal):指定最低级别的代码访问安全性,这意味着应用程序只有执行权限。

   为何要对“.NET安全模式”进行设置呢?
  
    首先我们来看下未设置前的情况,以便对下面设置情况进行对比。

    刚安装完网站安全狗,可以看到.NET安全模式设置为“完整模式”,即没有做任何权限的设置。如图所示:



    这个是未设置前的截图,我们现在上传一个.NET的webshell来看下情况:



    从上面截图我们可以看到,在网站安全狗的““.net设置-安全模式设置”中选择“完整模式”时,那么我们通过这个WEBSHELL就可以获取到系统进程的情况,当然上面其它功能的也是可以,我们以这个为例来进行说明。

   现在我们来对“安全模式设置”进行设置,我们选择了“高级模式”,这是网站安全狗的推荐模式,屏蔽了大部分的危险功能,保证网站的安全运行,我们来看下图片:


    注意:无论选择哪个模式,建议记得勾选“禁止第三方非法修改.NET配置,保护.NET网站安全”。

    OK,我们再来看下通过刚才那个webshell是否能够看到进程信息:



    相对于中级、低级、初级模式来说,“高级模式”对功能限制是最小的,越往下限制越大。管理员可以根据自己的需求进行设置。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Comsenz Inc.

GMT+8, 2024-12-23 12:18 , Processed in 0.067881 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc. Templated By 【未来科技 www.veikei.com】设计

快速回复 返回顶部 返回列表