１、限制Web应用在服务器上的運行 格设定WEB服务器的目录访问权限
　　２、进行严格的输入验证，控制用户输入非法路径如在每个目录访问时有 ，搜索为空时，数據库显示出具体错误位置可进行sql注入攻击或关键字猜测攻击

3.4）不安全的配置管理

分析：Config中的链接字符串以及用户信息，邮件数据存储信息都需要加以保护

关掉所有不使用的服务，

手段：用户使用缓冲区溢出来破坏web应用程序的栈通过发送特别编写的代码到web程序中，攻击鍺可以让web应用程序来执行任意代码

例：数据库的帐号是不是默认为“sa”密码（还有端口号）是不是直接写在配置文件里而没有进行加密。

WEB服务器没有对用户提交的超长请求没有进行合适的处理这种请求可能包括超长URL，超长HTTP Header域或者是其它超长的数据

使用类似于“strcpy()，strcat()”不進行有效位检查的函数恶意用户编写一小段程序来进一步打开安全缺口，然后将该代码放在缓冲区有效载荷末尾这样，当发生缓冲区溢出时返回指针指向恶意代码

用户使用缓冲区溢出来破坏web应用程序的栈，通过发送特别编写的代码到web程序中攻击者可以让web应用程序来執行任意代码。

如apach缓冲区溢出等错误第三方软件也需检测

分析：攻击者可以从一个主机产生足够多的流量来耗尽狠多应用程序，最终使程序陷入瘫痪需要做负载均衡来对付。

3.7）日志完整性可审计性与可恢复性

服务器端日志：检测系统运行时是否会记录完整的日志。

如進行详单查询检测系统是否会记录相应的操作员、操作时间、系统状态、操作事项、IP地址等

检测对系统关键数据进行增加、修改和删除時，系统是否会记录相应的修改时间、操作人员和修改前的数据记录

广州地铁集团有限公司运营事业總部采购物流中心网上比价项目供应商报名须知

宋体;">必须提供全国企业信用信息公示系统（网址：/）下载并打印的工商公示信息、企业公礻信息提供其他网站的信息，如红盾网等均无效(注：珠海市企业除外，但需提供有效的商事信息、年度报告信息等）</span></span></p></td></tr><tr