国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁(yè) > 新聞資訊 > 行業(yè)新聞

Web的安全防御淺談

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-09-14 瀏覽次數(shù):

一個(gè)網(wǎng)站要想更安全許多事情就可以在開發(fā)的過程中解決!以ASP.NET舉例為說(shuō)!ASP.NET是一個(gè)編譯型的網(wǎng)站,但是如果沒有做好嚴(yán)格的文件名過濾,和數(shù)據(jù)庫(kù)的操作封裝!還是有很大的安全影響一下是一個(gè)企業(yè)網(wǎng)站的制作過程中的安全工作例子!一個(gè)企業(yè)網(wǎng)站具備的功能明白說(shuō)就是一個(gè)新聞管理系統(tǒng)!所需要做的安全工作也十分簡(jiǎn)單!防注入方面:第一:替換單引號(hào),即把所有單獨(dú)出現(xiàn)的單引號(hào)改成兩個(gè)單引號(hào),防止攻擊者 修改SQL命令的含義。

再來(lái)看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”顯然會(huì)得到與“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的結(jié)果。

第二:刪除用戶輸入內(nèi)容中的所有連字符,防止攻擊者構(gòu)造出類如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之類的查詢,因?yàn)檫@類查詢的后半部分已經(jīng)被注釋掉,不再有效,攻擊者只要知道一個(gè)合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪 問權(quán)限。

第三:對(duì)于用來(lái)執(zhí)行查詢的數(shù)據(jù)庫(kù)帳戶,限制其權(quán)限。

用不同的用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。

由于隔離了不同帳戶可執(zhí)行的操作,因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT、UPDATE或DELETE命令。

以上是我是我收集的一些看法!我的看法是下面兩條!第四:個(gè)人覺得所有最數(shù)據(jù)進(jìn)行操作的事件或者語(yǔ)句最好用存儲(chǔ)過程來(lái)寫入,這可以有效的避免MySql數(shù)據(jù)的顯錯(cuò)暴庫(kù)!而且對(duì)此還需要做一個(gè)頁(yè)面當(dāng)黑客注入觸發(fā)防注入的時(shí)候跳轉(zhuǎn)到該頁(yè)并提示非法操作!第五:對(duì)Url后面的ID參數(shù)之后的內(nèi)容進(jìn)行URL編碼,這樣可以達(dá)到加密效果!雖然可以轉(zhuǎn)換過來(lái),但是考慮到一般人不會(huì)這么做!對(duì)于文件名過濾方面:第一:通過查看源碼發(fā)現(xiàn),現(xiàn)在還是有很多程序員在做過濾的時(shí)候都是用的Javascript做本地驗(yàn)證和過濾!這樣做,個(gè)人覺得十分不好。

過濾的代 碼可以給被攻擊者看到,畢竟人有疏忽時(shí)!這樣做有一定風(fēng)險(xiǎn)!個(gè)人看法覺得還是直接通過C#來(lái)寫源碼過濾比較好!雖然麻煩點(diǎn),但是勝在源碼不會(huì)被看見!第二:對(duì)于上傳文件名的過濾,大部分企業(yè)網(wǎng)站開發(fā)人員為了方便就直接使用編輯器的上傳功能!這擁有十分大的風(fēng)險(xiǎn)!雖然我自學(xué)WEB安全也一年多,但是還是知道一個(gè)網(wǎng)站最容易被拿下的也是編輯器!所以還是自己做一個(gè)上傳功能比較好!對(duì)于上傳的過濾也十分重要!很多開發(fā)者在對(duì)這個(gè)進(jìn)行過濾是可能都會(huì)去判斷最后一個(gè).后面的文件后綴是否非法,這么做也不是不可以,但是這么做還有在做調(diào)節(jié),當(dāng)后面后綴正確時(shí),則修改文件名以時(shí)間為標(biāo)準(zhǔn)!后臺(tái)方面:第一:在做管理員登陸的時(shí)候,記錄用戶數(shù)據(jù)建議用Session而不用Cookie,因?yàn)镃ookie很不安全!第二:在做后臺(tái)的時(shí)候,編輯器是始終要考慮的問題,最好刪掉一些上傳和管理頁(yè)面,只留下編輯器!還有小心FCK編輯器的配置文件,這個(gè)地方刪除了 TEST 頁(yè)面最好也對(duì)配置文件名字進(jìn)行更改!不過挺麻煩更改了之后,里面的一些文件內(nèi)容也要改一下,還有一個(gè)方法就是對(duì)配置文件的目錄做可讀不可寫權(quán)限!第三:數(shù)據(jù)庫(kù)備份這個(gè)功能最好不要加,加也可以,但是要強(qiáng)制備份成.mdb或.mdf!最好就是備份成功路徑也不要顯示!第四:要給數(shù)據(jù)庫(kù)做好嚴(yán)格的放防下載,防止下載敏感資料!服務(wù)器方面:第一:禁用Wscipit.shell組建!第二:對(duì)于網(wǎng)站路徑做好嚴(yán)格的權(quán)限設(shè)置,特別是編輯器路勁,最好可讀不可寫!第三:MySql,MsSql不要用默認(rèn)的賬號(hào)密碼!第四:對(duì)C盤做權(quán)限設(shè)置,特別是臨時(shí)文件夾,回收站路徑,windows路徑,程序路徑!第五:殺毒軟件實(shí)時(shí)更新,APR防火墻!第六:如果條件可以弄一臺(tái)服務(wù)器做數(shù)據(jù)庫(kù)服務(wù)器,如果不行對(duì)數(shù)據(jù)庫(kù)路徑做好權(quán)限設(shè)置不可讀不可寫!第七:server—u這些上傳工具最好不要用,或者用別的功能相等的工具!第八:修改3389鍵值的端口!第九:做好路由防護(hù),以防止APR嗅探!第十:做好通服務(wù)器網(wǎng)站旁注,聽說(shuō)最近360安全專家出了一個(gè)旁注安全檢測(cè),可以試試!好了,以上想到的就這么多了!當(dāng)然權(quán)限設(shè)置主要是針對(duì)于游客權(quán)限,匿名權(quán)限,以及iis的一些權(quán)限!


  • 上一篇:MongoDB數(shù)據(jù)庫(kù)遭大規(guī)模勒索攻擊,被劫持26000多臺(tái)服務(wù)器。數(shù)據(jù)加密刻不容緩!
  • 下一篇:針對(duì)企業(yè)文件數(shù)據(jù)防泄密,上海維創(chuàng)幫您防止資料外泄!
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號(hào)

    主站蜘蛛池模板: 玖玖草| 美国发布站久久综合网 | 国产精品中文字幕播放器良家 | 草逼无码 | 国产乱码精品一区二区三区精东 | 精品人妻一区二区三区浪潮在线 | 无套内射少妇片 | 自拍偷拍,高清二区 | 国产精华一区二区三区 | 成人精品一区二区三区城中村 | 日本美人与黑人大鸡吧 | 精品亚洲麻豆1区2区3区 | bt无码区| 成人A片免费看网站 | 国产裸体美女永久无遮挡 | 日韩国产AV三级片网址大全 | 人妻,精品中区 | 亚洲欧美日韩啊啊啊好爽操 | 久久久久久久国产精品毛片 | 亚洲AV一二三四五区高清 | 中文字幕无乱码在线观看亚洲日韩 | 亚洲成人资源在线看 | 性一交一乱一交A片久 | 无码区一区二区三区三州电影 | 黄色网址网站 | 四虎影院中文无码 | 一本久久综合亚洲鲁鲁五月天 | 无码毛片一区二区三区视频免费播 | 精品人妻一区二区三区乱码 | 国产精品嫩草影院 禁果 | 丰满岳乱妇国产精品一区 | 日韩伦理在线精品毛片 | 玖玖365成人 | 成人麻豆30p | 午夜精品久久久久久久久噜噜 | 国产一区你懂的 | 中文字幕不卡在线观看 | 乱伦中字 | 九九九福利 | 最新日韩AV电影在线观看 | 暗呦网一区二区三区 |