网站建设资讯

NEWS

网站建设资讯

安全设置里上传服务器文件 服务器上的安全

基于IIS搭建服务器如何设置权限上传文件到服务器

首先 要保证你的磁盘的格式是 ntfs格式的

创新互联公司专业为企业提供康平网站建设、康平做网站、康平网站设计、康平网站制作等企业网站建设、网页设计与制作、康平企业网站模板建站服务,10多年康平做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。

你可以 点 文件夹上的-- 工具--文件夹选项-- 查看--使用简单文件共享前面的钩去掉。

然后 在 iis指向的文件夹上 点右键 属性--安全---可以设置不同用户的 读写权限。。。

另外上传文件 你可能需要装一些ftp服务,比如装个serv-u软件或者iis自带的也可以,用来指向这个设置了权限的目录

NTFS权限

首先我们要知道:只要是存在NTFS磁盘分区上的文件夹或文件,无论是否简扮被共享,都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效! NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种"套餐型"的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。 在大多数的情况下,"标准权限"是可以满足管理需要的,但对于权限管理要求严格的环境,它往往就不能令管理员们满意了,如只想赋予某用户有建立文件夹的权限,却没有建立文件的权限;如只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等......这个时候,就可以让拥有所有权限选项的"特别权限"来大显身手了。也就是说,特别权限不再使用"套餐型",而是使用可以允许用户进行"菜单型"的细节化权限管理选择了。 那么如何设置标准访问权限呢?以对一个在NTFS分区中的名为"zhiguo"的文件夹进行设置标准访问权限为例,可以按照如下方法进行操作: 因为NTFS权限需要在资源属性页面的"安全"选项卡设置界面中进行,而Windows XP在安装后默认状态下是没有激活"安全"选项卡设置功能的, 所以需要首先启用系统中的"安全"选项卡。方法是:依次点击"开始"→"设置"→"控制面板 ",双击"文件夹选项",在"查看"标签页设置界面上的"高级设置"选项列表中清除"使用简单文件共享(推荐)"选项前的复选框后点击"应用"按钮即可。 设置完毕后就可以右键点击"zhiguo" 文件夹,在弹出的快捷菜单中选择"共享与安全",在"zhiguo属性"窗口中就可以看见"安全"选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的,此时应首先在"组或用户名称"列表中选择需要赋予权限的用户名组(这里选择"zhong"用户),接着在下方的"zhong 的权限"列表中设置该用户可以拥有的权限即可。 下面简单解释一下六个权限选项的含义: ①完全控制(Full Control): 该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限; ②修改(Modify): 该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限; ③读取和运行(Read Execute): 该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资拦嫌灶源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径; ④列出文件夹目录(List Folder Contents): 该权限允许用户查看资源中的子文件夹与文件名称; ⑤读取(Read): 该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等;者野 ⑥写入(Write): 该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。 如果在"组或用户名称"列表中没有所需的用户或组,那么就需要进行相应的添加操作了,方法如下:点击"添加"按钮后,在出现的"选择用户和组"对话框中,既可以直接在"输入对象名称来选择"文本区域中输入用户或组的名称(使用"计算机名\用户名"这种方式),也可以点击"高级"按钮,在弹出的对话框中点击" 立即查找"按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。 如果想删除某个用户组或用户的话,只需在" 组或用户名称"列表中选中相应的用户或用户组后,点击下方的"删除"按钮即可。但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,如果希望拒绝某个用户或用户组访问某个资源,还要在"组或用户名称"列表中选择相应的用户名用户组后,为其选中下方的"拒绝"复选框即可。 那么如何设置特殊权限呢?假设现在需要对一个名为"zhiguo"的目录赋"zhong"用户对其具有"读取"、"建立文件和目录"的权限,基于安全考虑,又决定取消该账户的"删除"权限。此时,如果使用"标准权限"的话,将无法完成要求,而使用特别权限则可以很轻松地完成设置。方法如下: 首先,右键点击"zhiguo"目录,在右键快捷菜单中选择"共享与安全"项,随后在"安全"选项卡设置界面中选中"zhong"用户并点击下方的"高级"按钮,在弹出的对话框中点击清空"从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目"项选中状态,这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的" 安全"对话框中点击"复制"或"删除"按钮后(点击"复制"按钮可以首先复制继承的父级权限设置,然后再断开继承关系),接着点击"应用"按钮确认设置,再选中"zhong"用户并点击"编辑"按钮,在弹出的"zhong的权限项目"对话框中请首先点击"全部清除"按钮,接着在"权限"列表中选择"遍历文件夹/运行文件"、"列出文件夹/读取数据"、"读取属性"、"创建文件/写入数据"、"创建文件夹/附加数据"、"读取权限"几项,最后点击"确定"按钮结束设置。 在经过上述设置后,"zhong"用户在对"zhiguo"进行删除操作时,就会弹出提示框警告操作不能成功的提示了。显然,相对于标准访问权限设置 上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。 为了大家更好地理解特殊权限列表中的权限含义,以便做出更精确的权限设置,下面简单解释一下其含义: ⑴遍历文件夹/运行文件(Traverse Folder/Execute File): 该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。 注意:只有当在"组策略"中("计算机配置 "→"Windows设置"→"安全设置"→"本地策略"→"用户权利指派")将"跳过遍历检查"项授予了特定的用户或用户组,该项权限才能起作用。默认状态下,包"Administrators"、"Users"、"Everyone"等在内的组都可以使用该权限。 对于文件来说,拥了这项权限后,用户可以执行该程序文件。但是,如果仅为文件夹设置了这项权限的话,并不会让用户对其中的文件带上"执行"的权限; ⑵列出文件/读取数据(List Folder/Read Data): 该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据; ⑶读取属性(Read Attributes): 该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性); ⑷读取扩展属性(Read Extended Attributes): 该权限允许查看文件或文件夹的扩展属性,这些扩展属性通常由程序所定义,并可以被程序修改; ⑸创建文件/写入属性(Create Files/Write Data): 该权限允许用户在文件夹中创建新文件,也允许将数据写入现有文件并覆盖现有文件中的数据; ⑹创建文件夹/附加数据(Create Folder/Append Data): 该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据,但不能对文件现有的数据进行覆盖、修改,也不能删除数据; ⑺写入属性(Write Attributes): 该权限允许用户改变文件或文件夹的属性; ⑻写入扩展属性(Write Extended Attributes): 该权限允许用户对文件或文件夹的扩展属性进行修改; ⑼删除子文件夹及文件(Delete Subfolders and Files): 该权限允许用户删除文件夹中的子文件夹或文件,即使在这些子文件夹和文件上没有设置删除权限; ⑽删除(Delete): 该权限允许用户删除当前文件夹和文件,如果用户在该文件或文件夹上没有删除权限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它; ⑾读取权限(Read Permissions): 该权限允许用户读取文件或文件夹的权限列表; ⑿更改权限(Change Permissions): 该权限允许用户改变文件或文件夹上的现有权限; ⒀取得所有权(Take Ownership): 该权限允许用户获取文件或文件夹的所有权,一旦获取了所有权,用户就可以对文件或文件夹进行全权控制。 这里需要单独说明一下"修改"权限与"写入 "权限的区别:如果仅仅对一个文件拥有修改权限,那么,不仅可以对该文件数据进行写入和附加,而且还可以创建新文件或删除现有文件。而如果仅仅对一个文件拥有写入权限,那么既可以对文件数据进行写入和附加,也可以创建新文件,但是不能删除文件。也就是说,有写入权限不等于具有删除权限,但拥有修改权限,就等同于拥有删除和写入权限。

已知本地文件路径,怎样将图片上传到服务器

一般采用的是FTP进行上传就可以了!可以去服务器慧茄厂商(正睿)的网上找找文件森团上传的相关文档参考一下,应该很快此碧橘就清楚了!

如何设计出一个安全的文件上传功能

这两天我们的老朋友PDP在BlackHat 08上做了一个关于GIFAR的演讲。和往常一样,PDP的东西基本上都很猥琐,这个也是。主题是关于是如何把GIF或者 JPG文件和JAR文件捆绑在一起,然后欺骗服务器以为是GIF或JPG文件,结果却是在客户端的JVM中执行JAR的例子。

他还举了些欺骗的例子,比如在office2007中,doc文件实际上就是zip格式了,里面都是些xml,那么他把jar文件打包在zip文宽渣核件里,再把后缀改成doc,来达到欺骗的目的。

在这里是客户端的问题,我想到的则是其他的问题,比如安全上传。

根梁运据以往的经验看来,我们可能会设计如下文件上传的安全规则:

1. 文件上传的目录设置为不可执行

2. 判断文件类型

3. 单独设置文件服务器的域名

4. 改写文件名慎掘,文件路径不可预测

第一点规则是显而易见的,是为了减小执行动态语言脚本的风险。如果被成功上传了一个webshell,但是不能执行,还是能够起到深度防御的作用。

第二点,在判断文件类型的时候,我们一般要求使用白名单,而不是黑名单,因为黑名单可能会列不全,还可能会造成一些bypass的风险。

比如以前老版本的 FCKEditor就出过这种问题,只做了黑名单的控制,最后被bypass。

而apache有个特性,是解析第一个“ . ”后的文件后缀作为文件类型,比如 fvck.php.rar.rar.rar 会被apache当作 fvck.php解析。 我最近看了下php的手册,在安装文档里,针对这个问题,专门有一个指导:

15. Tell Apache to parse certain extensions as PHP. For example, lets have

Apache parse .php files as PHP. Instead of only using the Apache AddType

directive, we want to avoid potentially dangerous uploads and created

files such as exploit.php.jpg from being executed as PHP. Using this

example, you could have any extension(s) parse as PHP by simply adding

them. Well add .phtml to demonstrate.

FilesMatch .php$

SetHandler application/x-httpd-php

/FilesMatch

IIS6也有这种类似的特性,即在文件夹名字为 fvck.asp 时(fvck可替换为任意值),该文件夹下任何文件都会被当作asp来执行,

至今似乎也未见到微软有把这个特性当作bug来fix的迹象。

所以如果不熟悉这些webserver的特性,你可能会觉得漏洞来的如此神奇:我明明做了充分限制,为什么还是被“做俯卧撑”了?

在判断文件类型的时候,大多数程序都是使用的采用检查文件后缀的方法,这里主要需要注意的hacking trick是某些检查函数是否会以0字节作为结束的判断,以前动网就出过类似的漏洞,上传 fvck.jpg%00.asp即可绕过文件类型检查。

我也见过只检查文件头部的,这种也很好欺骗,构造一个合法的gif文件头部,然后将webshell贴在后面,在后缀合法的情况下,一样能够被浏览器解析:

GIF89a ?

? phpinfo(); ?

比较高级一点的是做更多的文件格式检查,比如检查图片里像素的长宽等,然后再对图片做一次压缩,这样出来的图片基本都变形了,有啥webshell也被破坏了。

而检查文件格式时候一般会用到一些网上已经封装好的类,在扫描文件格式方面还是比较有优势的。但是在检查大文件的时候效率显然是一个需要考虑的问题,很多程序员出于效率原因可能不太会愿意选择这种方式。

但是今天从PDP的这个绑定文件的猥琐方法看来,详细检查文件格式的方法还是非常有必要的,因为攻击者的目标可能不光是服务器,还是客户端,如果要对客户端有所保证,就必须要详细检查文件格式,使之落在白名单中。

第三点,单独设置文件服务器域名,也是一种针对客户端的保护。这样可能会避免许多跨域的问题。如果发生了XSS,攻击者可能还需要突破跨域的限制才能进一步扩大战果。再比如如果被上传了crossdomain.xml,可能就会导致flash的跨域问题,这些都是实实在在的风险。

第四点,改写文件名,随机文件路径。这是把风险藏起来,现在基本上尽职一点的程序员都会这么设计,这也是最大程度减小风险的非常切实有效的手段。

需要注意的是构造随机文件名或路径的算法需要足够“随机”,而不要从比如cookie之类的地方直接取一段hash出来。比较好的做法是在server上用类似random()一类的函数来生成,相信程序员们这点意识还是有的,不再赘述了。

如何设置将文件上载到服务器时包含本地目录路径

安装完姿高Internet Explorer 8后把被更改的浏览器安全设置中的【将文迟册祥件上传到服务器时包含本地目录路径】下面这一项为码搏“启用”。


新闻标题:安全设置里上传服务器文件 服务器上的安全
本文网址:http://cdweb.net/article/ddpjeih.html