IIS7~8.5 权限研究

2021年4月7日 1,061 浏览数 没有评论

  IIS7及以上版本相对于IIS6改变较大,完全不适应于以往的管理方法,需要我们重新学习。通过对微软文档的研究,我觉得IIS7就像是用“管理酒店”的方式来管理网站。下面就用“管理酒店”的例子来简单描述一下过程:
  酒店就是把一幢楼开辟出很多房间,供旅客使用。为了管理好房间,更好地为旅客服务,酒店会配备服务员,服务员的日常工作就是打扫、整理房间。服务员一般都会有门卡,可以自由出入房间。旅客到酒店登记后,也会给门卡。旅客使用门卡打开房间门,便可使用房间里的一切物品。IIS7的“应用程序池”就是“服务员”,网站用户就是“旅客”,网站的文件夹就是房间。关于权限问题会有下面几种情况:
  1、服务员有默认的门卡,旅客使用和服务员一样的门卡(默认应用程序池帐号IIS APPPOOL\{app pool name});
  2、服务员有默认的门卡,旅客也有默认门卡(应用程序池使用默认帐号,网站用户使用默认IUSR账号);
  3、服务员和旅客都使用专用门卡(应用程序池和网站用户都使用专用帐号);

针对这三种情况,我们要设置IIS7的访问权限。
第一种情况,都使用“应用程序池”默认帐号
1.添加网站,选择物理路径之后,点“连接为”设定为:应用程序用户

2.给“网站文件夹”添加该网站的“应用程序池”名称帐号(隐藏的,属于“IIS_IUSRS”组)如:iis apppool\你网站的应用程序池名称

回到IIS,点击“测试设置”结果中的授权“无法验证对路径xxxxx的访问”,不用管它
3.点“身份验证”,编辑“匿名身份验证”,选择“应用程序池标识” 阅读全文…

分类: 网站相关 标签:

更改WampServer默认的www根目录

2020年12月22日 3,408 浏览数 没有评论

  平常在本地电脑上搭建PHP运行环境,我都喜欢使用WampServer。它安装简单,选择PHP版本和配置PHP扩展也方便。最近要调试Laravel框架,需要将WampServer默认的www根目录更改为Laravel的public目录。由于之前没有改过就从网上找了一下教程,结果还真是涨见识了。网上那些教程千篇一律,也不知转谁的?多久前发的?要到WampServer安装目录里找配置文件,还要更改好几个,操作麻烦。没敢按网上教程动手,仔细研究了一下,发现很简单。

  WampServer使用的Web服务是Apache,它的配置文件是httpd.conf,只要更改它就可以了。在实地操作时我又发现Apache有虚拟主机设置,也就是有httpd-vhosts.conf配置文件。只要更改它里面的路径地址(或者新建虚拟主机),再重启一下服务即可生效。操作图示如下:


分类: 经验技巧, 网站相关 标签:

再聊聊车子

2020年4月20日 6,452 浏览数 没有评论

  男人这辈子,总逃不了老婆孩子、房子和车子。先前也聊过车子对于家庭的重要性,所以买车、用车这事一直都是生活中比较重要的话题。许久没在博客上记录生活了,今天就再来聊聊车子吧!

  先前买的豪爵铃木“海王星”摩托车,皮实、耐用,外观看上去也像电动车,所以日常在城市中穿行倒也顺利!父母年迈,以前生活在一起时不觉得怎样,自从搬家之后,距离远了,心也孤寂了,每个月总要带上孩子去看望一下。孩子成长很快,身高都要赶上我了,挤在摩托上非常不安全。所以,买汽车便被提上了日程。

  其实想买汽车的心一直都有,先前“玩”自行车时,受上海“老秦”的影响,对于开车带老婆孩子出游甚为羡慕,但苦于当时收入不高,像“汽车”这样的大件,很难下狠心“娶”回家。再者和父母生活在一起,汽车除了出游倒也没有别的用处。羡慕归羡慕,也知道有汽车的好,但终没有行动。

  2015年,因担心驾考政策变化导致考试难度加大,便去考取了驾照。非常顺利地拿到了驾照,但之后四年再没摸过车。

  2016年初为了解决上班、孩子上学等一系列问题,在新城区买了房。买过之后,本地的房价就开始飞涨,庆幸下手及时!

  2018年本田“机油门”爆发,优惠幅度大增,心动五代CRV。为何看中了CRV?其实原因很简单,以前邻居家买的就是CRV,所以印象比较深,了解得也比较多!身边有位同事也买了辆四代CRV,开了两年,赞不绝口!

  CRV自1995年投产以来,至今已历经五代,是本田的主打车型,此车的特点就是车内空间大,皮实耐用。我比较喜欢一代和二代那种方正的外形,三代之后变圆润了很多,四代的屁股相当丑,很不喜欢!五代改款屁股好看了许多,前脸“大板牙”更为突出,加上菱形进气格栅,有如乐呵呵的一张笑脸。反观丰田家的车,极美极丑两极分化。皇冠、雷克萨斯都极为惊艳,而致炫、威驰、奕泽等活脱脱一张“狗”脸,欺负穷人么?与CRV同档次的RAV4,却改款成苦瓜脸。虽说外观因人而异,也无关重要,但是价格上却差别很大。RAV4是最新改款,没有优惠,内饰也一般。纠结了几天,放弃!

  此次本田“机油门”主要出在1.5T车型上,所以选车时主看了2.0L自然吸气的混动车型。恰巧广本的“皓影”也出来了,又多了一种选择。 阅读全文…

分类: 生活琐记 标签:

再见 DNSPOD.cn

2019年12月26日 2,623 浏览数 没有评论

  一直很喜欢DNSPOD,它免费、操作简单、功能强大,最重要的是解析速度快。后来,在使用Google站长工具时,经常提示Google bot抓取网站内容失败,让我摸不清头脑。Google一下发现但凡出现这种情况的都是使用DNSPOD的解析。虽然我也弄不清原因,但觉得网站还是国内的用户多,所以还在坚持使用DNSPOD。 

  腾讯收购DNSPOD之后,加入了一些收费功能。我的网站小,本身也不挣钱,所以也没在它上面花过钱。

  最近出现一件很不爽的事,有个xxx.com.cn域名在申请Let’s Encrypt Authority通配符证书时,只能使用“DNS验证”的方式验证,而在DNSPOD中添加TXT记录“_acme-challenge.XXX.com.cn”却无法添加,提示“子域名级数超出限制”,经查发现DNSPOD免费版最多只能添加三级域名,超过三级个人用户收费360元/年。不知何时,DNSPOD已开始对我们穷人进行限制了?其实我只是想验证一下,用完即删!

  今天抽空将DNS解析服务转移CloudFlare上,发现DNS解析速度更快,连网站浏览也比以前快了!

  感谢DNSPOD让我薅了几年羊毛,再见!

分类: 网站相关 标签:

防范XSS攻击,让黑客拿到cookie也无法登陆!

2019年4月4日 3,263 浏览数 没有评论

  近年来XSS攻击成为了主流,这种攻击原理很简单,黑客将精心构造的JS代码,通过留言或评论的方式提交到系统中,如果系统过滤不严,管理员在后台查阅时,代码就会被执行,登陆的Cookie就被窃取,黑客用此Cookie轻松登陆系统,然后上传木马、提权破坏等等。 

  防范XSS攻击,主要在于严格过滤用户提交来的数据,对于PHP语言常用strip_tags、htmlspecialchars等函数来处理。但黑客的手段也千奇百怪,利用各种编码、BUG来逃脱过滤,防不胜防!专业的事要交给专业的人来处理,笔者一般喜欢使用htmlpurifier这款富文本HTML过滤器,它采用白名单机制,能有效过滤掉用户提交表单中的非法HTML标签,防范XSS效果明显!

  当然,随着技术的进步,也有可能出现htmlpurifier过滤不了的情况,我们该想个应对的办法,如何让黑客拿到cookie也无法登陆呢?

  分析系统登陆后发现,大多数的登陆过程都是验证过帐户名和密码之后,在Session中保存登陆成功的标志,然后生成Cookie,每次用户来访问,只要根据Cookie找到对应的Session,验证其中的标志即可。Session好比超市门口的储物柜,Cookie就是条码纸,如果条码纸被别人偷去了,小偷也可打开储物柜。如何防范单一的条码纸开箱?按近来年流行双重验证的做法,让储物柜在生成条码纸的时候,同时记下用户的特征码(如密码、手机号等),这样即使条码纸被小偷偷去,小偷也开不了箱。

  按照这个思路,我们只要对系统稍稍改造即可!用户初次登陆,系统保存登陆成功标志到Session中的时候,同时记下用户的IP地址,然后用户每次请求验证的时候,拿现在的IP地址与Session中的IP进行比较,不符则验证失败,清除Session重新登陆!如此,黑客即使拿到Cookie,由于IP不符,也无法登陆成功!

  参考代码如下:

1
2
3
4
5
<?php
//登陆验证成功后
$_SESSION['LoginAccess'] = 'TRUE';
$_SESSION['IP'] = $_SERVER['REMOTE_ADDR'];
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
//每次请求时验证
If ($_SESSION['LoginAccess'] == 'TRUE'){
	$ip = $_SERVER['REMOTE_ADDR']; 
	If ($_SESSION['IP'] == $ip){
		return true;
	}else{
		return false;
	}
}else{
	return false;
}
?>

  附:在php中为Session的Cookie开启HttpOnly,让黑客获取不到Cookie也是个好办法。开启方法如下:
  PHP5.2以上版本,打开php.ini 设置session.cookie_httponly = TRUE
  或者在代码中开启:ini_set(“session.cookie_httponly”, 1);

分类: 伪编程, 经验技巧 标签: