⑴、更改IIS日志的路径
⑵右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
⑶、如果使用的是可以使用iislockdown来保护IIS,在运行的ie.的版本不需要。
⑷、使用UrlScan
⑸UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是.,如果是Server需要先安装.或.的版本。
⑹如果没有特殊的要求采用UrlScan默认配置就可以了。
⑺但如果你在服务器运行ASP.程序,并要进行调试你需打开要%WINDIR%SystemIsrvURLscan
⑻文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
⑼如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
⑽如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为
⑾在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
⑿如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
⒀、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
⒁七、配置Sql服务器
⒂、System Administrators 角色最好不要超过两个
⒃、如果是在本机最好将身份验证配置为Win登陆
⒄、不要使用Sa账户,为其配置一个超级复杂的密码
⒅、删除以下的扩展存储过程格式为:
⒆use master
⒇sp_dropextendedproc '扩展存储过程名'
⒈xp_cmdshell:是进入操作系统的最佳捷径,删除
⒉访问注册表的存储过程,删除
⒊Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
⒋Xp_regread Xp_regwrite Xp_regremovemultistring
⒌OLE自动存储过程,不需要删除
⒍Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
⒎Sp_OAMethodSp_OASetPropertySp_OAStop
⒏、隐藏 SQL Server、更改默认的端口
⒐右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的端口。