Web应用程序的威胁与对策(9)

拒绝服务 对于最终用户帐户使用锁定策略，以限制可用来猜密码的重试次数。 不要使用默认帐户名，并且重命名标准帐户，如管理员帐户和许多 Web 应用程序所使用的匿名 Internet 用户帐户。 审核失败登录是否属于劫持密码尝试模式。

以基础结构内的几个目标为目的的许多方法都可以实现拒绝服务。在主机上，攻击者可以通过强力攻击应用程序来中断服务，或者攻击者知道您的应用程序所在的服务中或运行服务器的操作系统中所存在的漏洞。

有助于防止拒绝服务的对策包括：

以防止拒绝服务为目标，配置您的应用程序、服务和操作系统。 通过修补程序和安全更新保持最新状态。 针对拒绝服务，强化 TCP/IP 堆栈。 确保您的帐户锁定策略不能用来锁定众所周知的服务帐户。 确保您的应用程序能够处理大容量通信，且设置了阈值以处理反常的高负载。 检查您的应用程序的故障转移功能。 使用 IDS 可检测潜在的拒绝服务攻击。

任意代码执行

如果攻击者可以在您的服务器上执行恶意代码，则攻击者或者危及服务器资源的安全，或者继续攻击下游系统。如果攻击者代码运行所在的服务器进程越权，则任意代码执行所造成的危险更大。常见漏洞包括弱 IID 配置和无修补程序的服务器，这将允许路径遍历和缓冲区溢出攻击，都可能导致任意代码执行。

有助于防止任意代码执行的对策包括：

将 IIS 配置为拒绝带有“../” 的 URL，以防止路径遍历。 锁定具有受限制的 ACL 的系统命令和实用程序。 通过修补程序和更新保持最新状态，以确保快速修补新近发现的缓冲区溢出。

未授权访问

不充分的访问控制会允许未授权用户访问受限制的信息或执行受限制的操作。常见漏洞包括弱 IIS Web 访问控制，其中包含 Web 权限和弱 NTFS 权限。

有助于防止未授权访问的对策包括：

配置安全的 Web 权限。