国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁(yè) > 新聞資訊 > 行業(yè)新聞

Web的安全防御淺談

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-09-14 瀏覽次數(shù):

一個(gè)網(wǎng)站要想更安全許多事情就可以在開發(fā)的過程中解決!以ASP.NET舉例為說(shuō)!ASP.NET是一個(gè)編譯型的網(wǎng)站,但是如果沒有做好嚴(yán)格的文件名過濾,和數(shù)據(jù)庫(kù)的操作封裝!還是有很大的安全影響一下是一個(gè)企業(yè)網(wǎng)站的制作過程中的安全工作例子!一個(gè)企業(yè)網(wǎng)站具備的功能明白說(shuō)就是一個(gè)新聞管理系統(tǒng)!所需要做的安全工作也十分簡(jiǎn)單!防注入方面:第一:替換單引號(hào),即把所有單獨(dú)出現(xiàn)的單引號(hào)改成兩個(gè)單引號(hào),防止攻擊者 修改SQL命令的含義。

再來(lái)看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”顯然會(huì)得到與“SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'”不同的結(jié)果。

第二:刪除用戶輸入內(nèi)容中的所有連字符,防止攻擊者構(gòu)造出類如“SELECT * from Users WHERE login = 'mas' -- AND password =''”之類的查詢,因?yàn)檫@類查詢的后半部分已經(jīng)被注釋掉,不再有效,攻擊者只要知道一個(gè)合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪 問權(quán)限。

第三:對(duì)于用來(lái)執(zhí)行查詢的數(shù)據(jù)庫(kù)帳戶,限制其權(quán)限。

用不同的用戶帳戶執(zhí)行查詢、插入、更新、刪除操作。

由于隔離了不同帳戶可執(zhí)行的操作,因而也就防止了原本用于執(zhí)行SELECT命令的地方卻被用于執(zhí)行INSERT、UPDATE或DELETE命令。

以上是我是我收集的一些看法!我的看法是下面兩條!第四:個(gè)人覺得所有最數(shù)據(jù)進(jìn)行操作的事件或者語(yǔ)句最好用存儲(chǔ)過程來(lái)寫入,這可以有效的避免MySql數(shù)據(jù)的顯錯(cuò)暴庫(kù)!而且對(duì)此還需要做一個(gè)頁(yè)面當(dāng)黑客注入觸發(fā)防注入的時(shí)候跳轉(zhuǎn)到該頁(yè)并提示非法操作!第五:對(duì)Url后面的ID參數(shù)之后的內(nèi)容進(jìn)行URL編碼,這樣可以達(dá)到加密效果!雖然可以轉(zhuǎn)換過來(lái),但是考慮到一般人不會(huì)這么做!對(duì)于文件名過濾方面:第一:通過查看源碼發(fā)現(xiàn),現(xiàn)在還是有很多程序員在做過濾的時(shí)候都是用的Javascript做本地驗(yàn)證和過濾!這樣做,個(gè)人覺得十分不好。

過濾的代 碼可以給被攻擊者看到,畢竟人有疏忽時(shí)!這樣做有一定風(fēng)險(xiǎn)!個(gè)人看法覺得還是直接通過C#來(lái)寫源碼過濾比較好!雖然麻煩點(diǎn),但是勝在源碼不會(huì)被看見!第二:對(duì)于上傳文件名的過濾,大部分企業(yè)網(wǎng)站開發(fā)人員為了方便就直接使用編輯器的上傳功能!這擁有十分大的風(fēng)險(xiǎn)!雖然我自學(xué)WEB安全也一年多,但是還是知道一個(gè)網(wǎng)站最容易被拿下的也是編輯器!所以還是自己做一個(gè)上傳功能比較好!對(duì)于上傳的過濾也十分重要!很多開發(fā)者在對(duì)這個(gè)進(jìn)行過濾是可能都會(huì)去判斷最后一個(gè).后面的文件后綴是否非法,這么做也不是不可以,但是這么做還有在做調(diào)節(jié),當(dāng)后面后綴正確時(shí),則修改文件名以時(shí)間為標(biāo)準(zhǔn)!后臺(tái)方面:第一:在做管理員登陸的時(shí)候,記錄用戶數(shù)據(jù)建議用Session而不用Cookie,因?yàn)镃ookie很不安全!第二:在做后臺(tái)的時(shí)候,編輯器是始終要考慮的問題,最好刪掉一些上傳和管理頁(yè)面,只留下編輯器!還有小心FCK編輯器的配置文件,這個(gè)地方刪除了 TEST 頁(yè)面最好也對(duì)配置文件名字進(jìn)行更改!不過挺麻煩更改了之后,里面的一些文件內(nèi)容也要改一下,還有一個(gè)方法就是對(duì)配置文件的目錄做可讀不可寫權(quán)限!第三:數(shù)據(jù)庫(kù)備份這個(gè)功能最好不要加,加也可以,但是要強(qiáng)制備份成.mdb或.mdf!最好就是備份成功路徑也不要顯示!第四:要給數(shù)據(jù)庫(kù)做好嚴(yán)格的放防下載,防止下載敏感資料!服務(wù)器方面:第一:禁用Wscipit.shell組建!第二:對(duì)于網(wǎng)站路徑做好嚴(yán)格的權(quán)限設(shè)置,特別是編輯器路勁,最好可讀不可寫!第三:MySql,MsSql不要用默認(rèn)的賬號(hào)密碼!第四:對(duì)C盤做權(quán)限設(shè)置,特別是臨時(shí)文件夾,回收站路徑,windows路徑,程序路徑!第五:殺毒軟件實(shí)時(shí)更新,APR防火墻!第六:如果條件可以弄一臺(tái)服務(wù)器做數(shù)據(jù)庫(kù)服務(wù)器,如果不行對(duì)數(shù)據(jù)庫(kù)路徑做好權(quán)限設(shè)置不可讀不可寫!第七:server—u這些上傳工具最好不要用,或者用別的功能相等的工具!第八:修改3389鍵值的端口!第九:做好路由防護(hù),以防止APR嗅探!第十:做好通服務(wù)器網(wǎng)站旁注,聽說(shuō)最近360安全專家出了一個(gè)旁注安全檢測(cè),可以試試!好了,以上想到的就這么多了!當(dāng)然權(quán)限設(shè)置主要是針對(duì)于游客權(quán)限,匿名權(quán)限,以及iis的一些權(quán)限!


  • 上一篇:MongoDB數(shù)據(jù)庫(kù)遭大規(guī)模勒索攻擊,被劫持26000多臺(tái)服務(wù)器。數(shù)據(jù)加密刻不容緩!
  • 下一篇:針對(duì)企業(yè)文件數(shù)據(jù)防泄密,上海維創(chuàng)幫您防止資料外泄!
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號(hào)

    主站蜘蛛池模板: 色裕天堂91影院 | 91在线无码精品秘 大全 | 久久精品亚洲国产奇米99 | 国产精品资源网 | 撸撸资源AV | 成人免费网站 | 蜜臀Av一区二区三区免费播放 | 区一区二在线观看 | 亚洲成人视频专区 | 男人日女人黄色录相A片 | 欧洲精品成人免费视频在线观看 | 婷婷五月天色播 | 国产精品二三区 | 日韩免费视频 | 97超碰碰| 国产又粗又黄又爽 | 激情欧美日韩 | 日本午夜乱伦色 | 精品人妻无码一区二区三区古塔尼 | 91精品国产麻豆国产自产在线夫 | 99偷拍| 8888福利视频导航 | 人妻熟女一区二区AⅤ岬ななみ | av日韓九九| 三级色视频操逼网站 | 午夜aiss爱丝福利片 | 人妻无码| 国模无码大尺度一区二区三区 | 91丨九色丨熟女|老版 | 无码成人AAAAA毛片AI换脸 | 日韩无码 - 老A影视 | 国产精品第页 | 国产精品极品白嫩在线 | 日韩1级视频 | 亚洲日韩欧美综合 | 69国产热成人精品视频免费 | 韩日日b网站 | 日韩黄片毛片 | 一区二区av无码免费 | 日韩高清丝袜人妻 | 中文字幕亚洲熟女乱伦 |