国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁(yè) > 新聞資訊 > 行業(yè)新聞

Web的安全防御淺談

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-09-14 瀏覽次數(shù):

一個(gè)網(wǎng)站要想更安全許多事情就可以在開發(fā)的過程中解決!以ASP.NET舉例為說(shuō)!ASP.NET是一個(gè)編譯型的網(wǎng)站,但是如果沒有做好嚴(yán)格的文件名過濾,和數(shù)據(jù)庫(kù)的操作封裝!還是有很大的安全影響一下是一個(gè)企業(yè)網(wǎng)站的制作過程中的安全工作例子!一個(gè)企業(yè)網(wǎng)站具備的功能明白說(shuō)就是一個(gè)新聞管理系統(tǒng)!所需要做的安全工作也十分簡(jiǎn)單!防注入方面:第一:替換單引號(hào),即把所有單獨(dú)出現(xiàn)的單引號(hào)改成兩個(gè)單引號(hào),防止攻擊者 修改SQL命令的含義。

再來(lái)看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”顯然會(huì)得到與“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的結(jié)果。

第二:刪除用戶輸入內(nèi)容中的所有連字符,防止攻擊者構(gòu)造出類如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之類的查詢,因?yàn)檫@類查詢的后半部分已經(jīng)被注釋掉,不再有效,攻擊者只要知道一個(gè)合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪 問權(quán)限。

第三:對(duì)于用來(lái)執(zhí)行查詢的數(shù)據(jù)庫(kù)帳戶,限制其權(quán)限。

用不同的用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。

由于隔離了不同帳戶可執(zhí)行的操作,因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT、UPDATE或DELETE命令。

以上是我是我收集的一些看法!我的看法是下面兩條!第四:個(gè)人覺得所有最數(shù)據(jù)進(jìn)行操作的事件或者語(yǔ)句最好用存儲(chǔ)過程來(lái)寫入,這可以有效的避免MySql數(shù)據(jù)的顯錯(cuò)暴庫(kù)!而且對(duì)此還需要做一個(gè)頁(yè)面當(dāng)黑客注入觸發(fā)防注入的時(shí)候跳轉(zhuǎn)到該頁(yè)并提示非法操作!第五:對(duì)Url后面的ID參數(shù)之后的內(nèi)容進(jìn)行URL編碼,這樣可以達(dá)到加密效果!雖然可以轉(zhuǎn)換過來(lái),但是考慮到一般人不會(huì)這么做!對(duì)于文件名過濾方面:第一:通過查看源碼發(fā)現(xiàn),現(xiàn)在還是有很多程序員在做過濾的時(shí)候都是用的Javascript做本地驗(yàn)證和過濾!這樣做,個(gè)人覺得十分不好。

過濾的代 碼可以給被攻擊者看到,畢竟人有疏忽時(shí)!這樣做有一定風(fēng)險(xiǎn)!個(gè)人看法覺得還是直接通過C#來(lái)寫源碼過濾比較好!雖然麻煩點(diǎn),但是勝在源碼不會(huì)被看見!第二:對(duì)于上傳文件名的過濾,大部分企業(yè)網(wǎng)站開發(fā)人員為了方便就直接使用編輯器的上傳功能!這擁有十分大的風(fēng)險(xiǎn)!雖然我自學(xué)WEB安全也一年多,但是還是知道一個(gè)網(wǎng)站最容易被拿下的也是編輯器!所以還是自己做一個(gè)上傳功能比較好!對(duì)于上傳的過濾也十分重要!很多開發(fā)者在對(duì)這個(gè)進(jìn)行過濾是可能都會(huì)去判斷最后一個(gè).后面的文件后綴是否非法,這么做也不是不可以,但是這么做還有在做調(diào)節(jié),當(dāng)后面后綴正確時(shí),則修改文件名以時(shí)間為標(biāo)準(zhǔn)!后臺(tái)方面:第一:在做管理員登陸的時(shí)候,記錄用戶數(shù)據(jù)建議用Session而不用Cookie,因?yàn)镃ookie很不安全!第二:在做后臺(tái)的時(shí)候,編輯器是始終要考慮的問題,最好刪掉一些上傳和管理頁(yè)面,只留下編輯器!還有小心FCK編輯器的配置文件,這個(gè)地方刪除了 TEST 頁(yè)面最好也對(duì)配置文件名字進(jìn)行更改!不過挺麻煩更改了之后,里面的一些文件內(nèi)容也要改一下,還有一個(gè)方法就是對(duì)配置文件的目錄做可讀不可寫權(quán)限!第三:數(shù)據(jù)庫(kù)備份這個(gè)功能最好不要加,加也可以,但是要強(qiáng)制備份成.mdb或.mdf!最好就是備份成功路徑也不要顯示!第四:要給數(shù)據(jù)庫(kù)做好嚴(yán)格的放防下載,防止下載敏感資料!服務(wù)器方面:第一:禁用Wscipit.shell組建!第二:對(duì)于網(wǎng)站路徑做好嚴(yán)格的權(quán)限設(shè)置,特別是編輯器路勁,最好可讀不可寫!第三:MySql,MsSql不要用默認(rèn)的賬號(hào)密碼!第四:對(duì)C盤做權(quán)限設(shè)置,特別是臨時(shí)文件夾,回收站路徑,windows路徑,程序路徑!第五:殺毒軟件實(shí)時(shí)更新,APR防火墻!第六:如果條件可以弄一臺(tái)服務(wù)器做數(shù)據(jù)庫(kù)服務(wù)器,如果不行對(duì)數(shù)據(jù)庫(kù)路徑做好權(quán)限設(shè)置不可讀不可寫!第七:server—u這些上傳工具最好不要用,或者用別的功能相等的工具!第八:修改3389鍵值的端口!第九:做好路由防護(hù),以防止APR嗅探!第十:做好通服務(wù)器網(wǎng)站旁注,聽說(shuō)最近360安全專家出了一個(gè)旁注安全檢測(cè),可以試試!好了,以上想到的就這么多了!當(dāng)然權(quán)限設(shè)置主要是針對(duì)于游客權(quán)限,匿名權(quán)限,以及iis的一些權(quán)限!


  • 上一篇:MongoDB數(shù)據(jù)庫(kù)遭大規(guī)模勒索攻擊,被劫持26000多臺(tái)服務(wù)器。數(shù)據(jù)加密刻不容緩!
  • 下一篇:針對(duì)企業(yè)文件數(shù)據(jù)防泄密,上海維創(chuàng)幫您防止資料外泄!
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號(hào)

    主站蜘蛛池模板: 福利姬npxvip在线观看 | 国产HD精品VHD精品 | 久久AV无码乱码A片无码波多 | 久草A片 | 黑丝 亚洲无码 | 国产二区不卡 | 久草热在线视频 | 又粗又长免费A片 | 午夜国产精品理论片久久影院 | 福利姬精品视频噜噜18在线 | 丰满无码xxxxHD | 韩国三级高潮爽久久久无码 | 国产精品宾馆91 | 国产熟女偷窥高潮精品 | 国产成人精品aⅴ无码电影视频 | 亚洲AV秘 精品老牛影视 | av片 在线观看 | 淫荡操逼av中文 | 国产精品国产三级国产AⅤ9色 | 欧美一区乱伦 | 亚州AV人生| 免费黄色在线网站 | 91深夜福利 | 国产精品午夜未成人免费观看 | 久久久精品久久久 | 极品美女无套啪啪 | 国产成人高清成人AV片在线看 | 丁香五月婷婷网 | 亚洲AV无码一区东京热久久 | 中国Av在线无需播放器电影 | 午夜日韩精品在线 | wwwwww日本| 国产精品男女下拱 | 日韩中文字幕乱伦性爱 | 国产三级无码视频在线观看 | 亚洲精品一本之道高清无码视频 | 亚洲精品无码久久久久久久宅男 | 亚洲AⅤ无码一级毛片孕交 日本无码在线观看 | 亚洲性久久久久久久久 | 在线无码精品秘 日本黄页下载 | 欧美男女交配视频 |