web服务器
        1.web服务器关闭不需要的IIS组件，比如禁用wev，禁用cgi和asp功能
        2.隐藏网站物理路径，删除默认网站，更改网站的物理路径
        3.删除无用的虚拟目录以及iis映射,只保留需要后缀文件的映射，
        4.启用IIS日志记录，每天审查日志
        5.设置web站点目录访问权限为读取权限，去除写入，目录浏览；尽可能不给执行权限
        6.防止access数据库被下载，具体操作为:添加.mdb扩展名的映射的都做为禁止（默认是POST,GET,）
        7.禁用vbscript执行权限
        数据库服务器
        1.SQLSERVER 禁用xpcmd..命令
        2.sqlserver 服务器，禁止采用sa作为访问账号，访问账号的权限授予public权限(read,write)即可
        3.为保证数据库服务器的安全连接，做ip访问限制，修改默认端口
        4.最好是低权限运行
        对页面木马后门的防范
        1.禁用FSO对象,防止病毒脚本复制，传播
        regsvr32 /u scrrun.dll
        2.禁用adodb.stream对象
        3.设置木马查找工具
        4.防止php，asp等文件被修改，可以 配合mcafee
        web服务器漏洞
        1.IIS6解析漏洞
        如果一个目录以"xxx.asp"的形式命名，那么该目录下的所有类型文件都会被当做asp文件来进行解析执行
        如果一个文件的扩展名采用".asp;*.jpg"的形式，那么该文件也会被当做asp文件解析执行 *随便些什么 ，也可以不写
        原理：IIS识别不出后缀，默认用第一个后缀
         
        2.windows命名机制漏洞
        在windows环境下，xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的，若这样命名，windows会默认除去空格或点，这也是可以被利用的！
        在向一台windows主机上传数据时，你可以抓包修改文件名，在后面加个空格或点，试图绕过黑名单，若上传成功，最后的点或空格都会被消除，这样就可得到shell。比如新建一个文件"asp.asp."保存时，文件名会自动变成asp.asp,文件名为"asp.asp..","asp.asp口"（口标识空格），上传文件时可将文件后缀更改成asp.xx.,逃避校验
        3.IIS6,7,7.5 映射问题
        .asp, .cer,.asa,.cdx 类型的文件，IIS对其的映射处理更asp一样，会按照asp进行执行

        4.IIS 7.0/IIS 7.5/Nginx