精华内容
下载资源
问答
  • 网站安全里,用户密码被暴力破解,尤其网站的用户登录页面,以及网站后台管理登录页面,都会遭到攻击者的暴力破解,常见的网站攻击分SQL语句注入攻击,密码弱口令攻击,用户密码暴力破解攻击,跨站攻击XSS等等网站...
     网站安全里,用户密码被暴力破解,尤其网站的用户登录页面,以及网站后台管理 登录

    页面,都会遭到攻击者的暴力破解,常见的网站攻击分SQL语句注入攻击,密
    码弱口令攻击,

    用户密码暴力破解攻击,跨站攻击XSS等等网站攻击方式。今天给
    大家讲解一下关于网站密码暴

    力破解的一些常用攻击手法,知彼知己,百战不殆。
     
     
    网站用户登录的页面里包含了,用户的名称,以及用户密码,登录验证码,三个主 要的页面功

    能,我们从最简单的角度去分析网站的用户密码是如何被破解的。
    首先获取到用户名,那么用

    户名该从哪里获取到呢? 一般是通过看登录的提示语
    ,比如提示该用户名不存在,以及网站新

    闻,以及公告里最上面的作者名字,通过
    网站域名查管理员的相关信息,利用注册邮箱名称,

    或者管理员的名字进行用户名
    的破解。然后接下来就是猜测用户名的密码,攻击者一般手里会

    有常用的密码字典
    ,比如123456、以及123456789,,97654321,这些数字加字母组合的密码

    攻击字典
    ,靠这些字典去暴力的破解用户的密码。
     
     
    还有验证码绕过攻击,通过识别常用的验证码,以及刷新不重复的验证码,GET、 POST抓包

    分析验证码的特征来直接绕过,或者通过验证码软件自动识别,自动填入
    来暴力破解用户的密

    码。
     
     
    在这里我们科普一下网站数据的传输的方式型攻击特征,分为两个特征:
     
     
    网站的密码明文传输方式,网站登录页面里没有任何验证,只有用户名密码,没有 验证码环节

    ,以及用户登录错误提示都没有的,这样是最受攻击者的喜欢,这样可
    以用服务器进行强力的

    破解,密码一般会在短时间内被破解出来,还有的利用明文
    传输的方式,使用工具,像Burp

    Suite配合自己的密码字典。

     
    网站的JS加密传输方式攻击,现在大多数的网站都会在用户登录的时候才用JS加密 ,把密码

    加密成MD5比较复杂的密码公式,再发送到网站后端,也就是服务器端进
    行效验,解密,然

    后判断密码是否与数据库里的用户密码对应,像这样的JS加密,
    对于攻击者来说增加了破解

    的难度,大多数网站才用的都是base64加密方式,MD5
    密码加密方式,SHAL密码加密方式。

    常用的就是MD5的加密方式,攻击者通常会编
    写一段代码就是JS解密的,来进行破解用户的

    密码,或者编写pytho脚本来进行破
    解密码。
    展开全文
  • 针对于PHP代码的开发的网站,最近在给客户做网站安全检测的同时,大大小小的都会存在网站的后台管理页面被绕... 后台验证码缺乏安全验证 比如在axublog程序中,网站后台存在一个验证管理员登录的一个函数chkadcoo...
    针对于PHP代码的开发的网站,最近在给客户做网站安全检测的同时,大大小小的都会存在网

    站的后台管理页
    面被绕过并直接登录后台的漏洞,而且每个网站的后台被绕过的方式都不一样,根

    据SINE安全渗透测试多年来
    经验,来总结一下网站后台绕过的一些详情,以及该如何去防范后台被

    绕过,做好网站的安全部署。

     
     
    后台验证码缺乏安全验证
     
     
    比如在axublog程序中,网站后台存在一个验证管理员登录的一个函数chkadcookie()。但是在网

    站后台的
    ad/art.php中并没有chkadcookie()此验证函数,因而就造成了普通访问条用户可以越权

    访问。
    这种漏洞的原理也比较简单,一般情况下是经验不足的开发者漏掉了验证函数。Sine安

    全公司是
    一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,安全服

    务于
    一体的网络安全服务提供商。
     
     
    后台验证代码没有做到绝对的安全验证
     
    axublog后台验证函数绕过
     
    后台登录的验证方式
     
    在axublog中的后台验证函数是chkadcookie(),代码如下图所示: 
     

     
    通过对网站代码的详细安全检测,发现了问题中只有$date我们是无法知道,而UA和

    REMOTE_ADDR都是客户
    端可控的验证逻辑是如果在COOKIE中出现了在txtchkad.txt中的值,

    那么就认为是登录的。这样的验证逻
    辑明显存在很大的漏洞问题。
     
    如何绕过后台验证?
     
    只需要将COOKIE中的chkad设置为_就可以绕过后台的登录了。
     
     
    网站安全之变量覆盖漏洞详情:
     
    beescms的后台验证函数绕过
     
    后台验证方式
     
    检查登录的函数is_login()的代码为如下图所示:
     

     
    上述的代码中并没有对$_POST使用fl_value()函数进行过滤,但又使用了extract()这样的函数,

    所以就可以通过发送POST参数覆盖掉SEESION中的值,从而绕过验证了。
    如何绕过后台验证?

    Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,

    安全服务于一体的网络安全服务提供商。
     
    绕过方式很简单,访问随便一个页面,发送POST请求包如下:
    index.php
     
    POST:_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=99999999999
     
    此时就成功地创建了SESION变量,包括$SESSION[loginin]=1、$_SESSION[admin]=1、

    SESSION[logintime]=99999999999。 
    之后访问管理员页面,就可以成功地登录后台了。

     
     
    针对于以上两个绕过网站后台的漏洞,可以看出一个是验证码,一个是变量覆盖漏洞,关于这

    2个漏洞的修复方法,
    根据现有的代码,进行安全过滤加强逻辑判断,以及函数的赋值安全检查
    展开全文
  • iis网站服务器+sql server数据库服务器安全 一 程序部分注意事项 1 友好的错误提示页,不出错误黄页,会暴露信息 2 输入参数检测,get,post,cookie验证,防注入 3 页面层不含任何业务逻辑 4 fck等编辑器有安全...
    iis网站服务器+sql server数据库服务器安全
    
    一 程序部分注意事项

    1 友好的错误提示页,不出错误黄页,会暴露信息

    2 输入参数检测,get,post,cookie验证,防注入

    3 页面层不含任何业务逻辑

    4 fck等编辑器有安全漏洞,慎用

    5 .net开发除了在页面层对所有输入要防注入外,最好在底层再做一次,只对输入进行单引号没用,很容易绕过。

    6 操作实体进如果不是全表更新最好只更新单独一列的sql,这样效率也好

    二 网站文件部分

    1 经常用漏洞扫描,安全检测工具扫描网站服务器(暗组安全杀毒,webscan,wscan等),特别是网站文件所在的文件夹。

    三 IIS设置部分

    1 如果是IIS服务器的话,最好装个IIS防火墙,可以起到一定的防护作用。如果是后台程序只是内部人或有限人访问的或以限制访问IP,设置方法详见 http://blog.csdn.net/huwei2003/article/details/6258627

    2 iis服务器网站文件夹的权限设置一定要注意,如果多个站每个站用一个单独的账号(匿名访问账号)如果是.net开发的应用程序池最好也是分开,图片,上传文件的文件夹最好权限设置为"无",删除不必要的账号,权限最小分配原则。

    (3)、IIS安全设置
      IIS的安全:
      1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
      2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
      3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
      4、删除不必要的IIS扩展名映射。
      右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。
      5、更改IIS日志的路径
      右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
      6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。

    四 数据库安全部分

    1 如果是用sqlserver数据库,开的端口(默认1433)要做好限制,只允话有限的服务器访问,

    (2)、SQL2000 SERV-U FTP安全设置
      SQL安全方面
      1、System Administrators 角色最好不要超过两个
      2、如果是在本机最好将身份验证配置为Win登陆
      3、不要使用Sa账户,为其配置一个超级复杂的密码
                或修改sa用户名:
                update sysxlogins set name='xxxx' where sid=0x01
                update sysxlogins set sid=0xE765555BD44F054F89CD0076A06EA823 where name='xxxx'
      4、删除以下的扩展存储过程格式为:
      use master
      sp_dropextendedproc '扩展存储过程名'
      xp_cmdshell:是进入操作系统的最佳捷径,删除
      访问注册表的存储过程,删除
       Xp_regaddmultistring
             Xp_regdeletekey
             Xp_regdeletevalue
             Xp_regenumvalues
       Xp_regread 
             Xp_regwrite 
             Xp_regremovemultistring
       OLE自动存储过程,不需要,删除
       Sp_OACreate 
             Sp_OADestroy
             Sp_OAGetErrorInfo
             Sp_OAGetProperty
       Sp_OAMethod
             Sp_OASetProperty
             Sp_OAStop
      5、隐藏 SQL Server、更改默认的1433端口。
      右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
        6.为数据库建立一个新的角色,禁止该角色对系统表的的select等权限,防止sql注入时利用系统表。
      

    五 系统安全部分

    1 服务器要及时更新安全补丁

    2 服务器密码,数据库密码等要经常修改,密码复杂度要高。

    3 关闭不需要的服务及端口。

    4 做好防火墙设置及本地安全策略。本地安全策略设置可见 http://blog.csdn.net/huwei2003/article/details/4041581

    5 网站服务器,数据库服务器除了本机做好备份外,最好要有备份机。以防出现问题一时不能恢复时启用。同时做好多点备份。

    6 经常查下服务器的日志,事件查看器 如果发现有意外的登录及操作应引起注意,iis日志查看是否有过注入之类的访问

    7 .net开发的网站 c:\windwos\temp要有访问权限,

    (8)、检测服务器
       在这里服务器本身的安全设置基本完成一半了,大家可以使用流光或者x-san 等扫描软件在其他机器上对服务器进行扫描看看还有哪些方面有问题,正常来说2003本身安全性就比较高,应该是没问题了,如果条件不允许没有以上骇客软件的话也可登录天网防火墙的官方网站上面有在线端口扫描,可以帮助你检测下自己的服务器。
       
      首先设置:所有盘、windows、documents and settings、program files 等只允许系统管理员用户访问,其他删除,这样就可以防止asp木马浏览你的系统盘了,(系统盘为ntfs)也可以单独建立一个用户,此用户设置权限为最低,然后指派给此用户专门就给web单独工作。
       一、禁用服务里面workstation 服务,可以防止列出用户和服务。
       二、使用wscript.shell组件
       wscript.shell可以调用系统内核运行dos基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。将注册表下的hkey_classes_root/wscript.shell/及hkey_classes_root/wscript.shell.1/ 改名为其它的名字,如:改为wscript.shell_changename或 wscript.shell.1_changename。自己以后调用的时候使用这个就可以正常调用此组件了,同时也要将clsid值也改动 hkey_classes_root/wscript.shell/clsid/项目的值 ,hkey_classes_root/wscript.shell.1/clsid/项目的值,并禁止使用guest用户使用shell32.dll来防止调用此组件。使用命令:regsvr32 wshom.ocx /u也可以将其删除,来防止此类木马的危害。


    (9)、 磁盘权限设置
      C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
      Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限,其实没有这个必要的。
     
      另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就能拿到system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
      另外,还将:
      net.exe NET命令
      cmd.exe  CMD 懂电脑的都知道咯~
      tftp.exe
      netstat.exe
      regedit.exe  注册表啦大家都知道
      at.exe
      attrib.exe
      cacls.exe  ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个....(:
      format.exe  不说了,大家都知道是做嘛的
      大家都知道ASP木马吧,有个CMD运行这个的,这些如果都可以在CMD下运行..55,,估计别的没啥,format下估计就哭料~~~(:这些文件都设置只允许administrator访问。

    (10)、防火墙、杀毒软件的安装
      关于这个东西的安装其实我也说不来,反正安装什么的都有,建议使用卡巴,卖咖啡。用系统自带的防火墙,这个我不专业,不说了!大家凑合!

    六 其它

    1 出现攻击后可用工具(如autorus)查看当前运行的服务,看有没有木马程序或非法程序在运行。

    2 服务器密码等密码之类的最好不要直接存在服务器上,以免利用。可用密码管理类的软件管理如keepass

    3 aspxspy是一个木马程序,攻击者会利用上传漏洞上传该文件,取得一定权限后即可以操作服务器了。类似的还有caidao.exe等

    (4)、serv-u的几点常规安全需要设置下:
      选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。

    (5)、其它
      1、系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;
      2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!

    (6)、隐藏重要文件/目录
      可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
      4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
      5、防止SYN洪水攻击。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
      新建DWORD值,名为SynAttackProtect,值为2
      6. 禁止响应ICMP路由通告报文
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
      新建DWORD值,名为PerformRouterDiscovery 值为0。
      7. 防止ICMP重定向报文的攻击
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
      将EnableICMPRedirects 值设为0
      8. 不支持IGMP协议
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
      新建DWORD值,名为IGMPLevel 值为0。
      9、禁用DCOM:
      运行中输入Dcomcnfg.exe。回车,单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。
    展开全文
  • 绿盟网站安全防护服务(vWAF)

    千次阅读 2017-09-13 10:00:48
    绿盟网站安全防护服务(vWAF),是绿盟科技针对公有云场景,以虚拟化设备形态为核心的安全服务,全面防护企业客户部署在公有云上的Web业务。核心防护引擎、智能检测引擎、自学习引擎、智能补丁,多种防护,全面对抗...

    平台: linux

    类型: 虚拟机镜像

    软件包:

    服务优惠价: 按服务商许可协议

    云服务器费用:查看费用

    立即部署

    产品详情

    产品介绍
    绿盟网站安全防护服务(vWAF),是绿盟科技针对公有云场景,以虚拟化设备形态为核心的安全服务,全面防护企业客户部署在公有云上的Web业务。核心防护引擎、智能检测引擎、自学习引擎、智能补丁,多种防护,全面对抗OWASP Top10威胁。按需购买,方便扩容~
    2016年WAF产品大中华区市场份额第一,连续7年(2010-2016)引领WAF国内市场;连续3年(2014-2016)入选Gartner魔力象限,2016年唯一入选Gartner魔力象限的国内WAF

    特点和优势:
    1.客户资产视角
    2.优化的向导系统
    3.细致高校的规则体系
    4.多层次的防护机制
    5.更加适应公有云特性

    使用说明
    1. 正式使用或试用请联系绿盟客服获取相关资料,了解如何获取许可证和使用方法;
    2. 使用 https://IP:1443可以访问到vWAF的管理页面,IP为该虚拟机的可访问IP

    截屏

    其他信息

    固件版本: V6.0R05F01

    最终用户协议网址:http://cloud.nsfocus.com

    来源网站:http://cloud.nsfocus.com

    地区: 所有

    上传日期: 2017年08月11日 04:27:20

    端口
    公共端口 本地端口
    1443 1443
    443 443
    80 80
    立即访问http://market.azure.cn
    展开全文
  • 网站安全维护网站安全维护当中,程序代码的设计逻辑漏洞,以及用户权限越权漏洞是比较常见的,在许许多多的电商以及APP网站里,很多前端业务需要处理的部分验证了用户的登录状态,并没有详细的对后面的一些功能以及...
  • 如何检测网站服务器安全:相信很多的seoer不是很了解,那么我介绍一个简单的方法用360的网站安全在线检测(webscan.360.cn)。只需要简单注册下验证一下网站权限就可以免费检测网站服务器漏洞网站漏洞了。 验证有三...
  • 本篇文章主要讲述架设网站服务器——IIS6.0,网站架构:ASP+ACCESS——的安全设置,是结合网上相关教程和自己经验总结整理的服务器安全设置笔记,在此仅做为参考以飨网友。 Windows Server2003的安装  1、安装...
  • 用户在访问ECS服务器上的网站时,提示如下错误: 解决方案 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据...
  • 网站安全配置Nginx防止网站被攻击

    万次阅读 2016-05-16 16:45:42
    网站安全配置(Nginx)防止网站被攻击(包括使用了CDN加速之后的配置方法)分类:服务器配置 标签:nginx 360网站卫士 CDN 10,216 views人浏览 网站被攻击是一个永恒不变的话题,网站攻击的方式也是一个永恒不变的...
  • 针对网站空间而言,因为许多源全是以共享资源的方法来开展,因此在安全系数上远远地会不如独立服务器,并且针对电子商务网络服务器而言,网络攻击还会网络时代的系统漏洞对网址开展统计数据窃取,伪造等,要是挑选...
  • iis服务器配置ssl访问后,浏览器提示此网站安全性已经过时用于加载此站点的连接是 TLS 1.0 或 TLS 1.1,这些连接已过时并将在以后关闭。如下图 首先我们要确定系统是否支持TLS1.2 ,参考如下配置图↓↓↓↓↓↓...
  • 国外网络安全网站

    万次阅读 2014-02-28 22:49:19
    http://www.iss.net(国外领先的网络安全软件及服务提供商) http://www.is-one.net(由IIS,软银,趋势公司共同投资建立的安氏中国) http://www.nai.com(国外著名的计算机病毒及网络安全软件服务提供商) ...
  • SQL注入攻击(SQL injection)是目前网站安全以及服务器安全层面上是最具有攻击性,危害性较高,被黑客利用最多的一个漏洞,基本上针对于网站代码,包括JAVA JSP PHP ASP apache tomcat 语言开发的代码都会存在sql...
  • 服务器都有哪些安全配置总结

    千次阅读 2018-02-27 14:26:47
    事件实列:客户亲说昨天的服务器被黑的事件中,我自己也是有一些责任,因为平时懒得对服务器安全进行设置建议:有些设置其实几分钟就可以设置完成,可就是懒惰,结果万一服务器被恶意破坏,就需要花费更多的时间恢复...
  • 如何保证服务器的安全

    千次阅读 2016-09-17 17:13:52
    此类网站的价值就在于资源,所以保证资源的安全性便是重中之重了。笔者认为,最好的防御就是进攻,Web服务器安全更是如此。总体来说,从以下两个方面来叙述。应用层面的预防开发过程中,规范Web开发的安全标准。 ...
  • 随着 Web 应用越来越广泛,Web 安全威胁日益凸显。黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为...
  • 网站安全测试报告模板

    万次阅读 2019-05-15 14:39:31
    XXXX网站安全测试报告 摘要 经xxxxx网站负责人的授权,xxxxx有限公司安全测试小组对xxxxx网站进行了安全测试。测试结果如下: 严重问题:7个 中等问题:8个 轻度问题:6个 一.安全风险分布 详细内容...
  • 最近访问一部分网站时,出现如下图所示 “ 此网站无法提供案例连接,客户端和服务器不支持一般 SSL 协议版本或加密套件 ” 的问 题。 注意这里显示了非常关键的一句话,xxx使用了不受支持的协议。从这句话入手,...
  • 网站安全证书有问题

    千次阅读 2012-08-13 10:17:10
    使用ie7或者ie8访问某些网站时出现:此网站安全证书有问题 的警告,是网站的问题吗,如何解决? 简单的说,出现此问题多是因为网站内容使用了特殊的脚本程序和未经微软认证的证书所致。 详细错误提示内容如下: ...
  • 今天讲讲这最后一个:安全性,从互联网诞生开始,安全威胁就一直伴随着网站的发展,各种web攻击和信息泄露也从未停止,那么我们今天就从下面这几点谈谈网站架构的安全性:网站应用与防御、信息加密及秘钥安全管理、...
  • 网站安全架构

    万次阅读 2015-11-11 10:53:15
    网站安全攻防战XSS攻击 防御手段: - 消毒。 因为恶意脚本中有一些特殊字符,可以通过转义的方式来进行防范 - HttpOnly 对cookie添加httpOnly属性则脚本不能修改cookie。就能防止恶意脚本篡改cookie注入攻击SQL...
  • 你的服务器够安全

    千次阅读 2019-11-24 21:58:35
    一份不一定很全的服务器安全防范措施, 但值得看看. (╯-_-)╯~╩╩. 文章地址: https://blog.piaoruiqing.com/2019/11/24/is-your-server-safe-enough/ 前言 近期服务器经常被暴力扫描、攻击, 故周末花时间打理下...
  • 网站安全等级保护备案流程

    千次阅读 2019-07-04 08:06:05
    从调研、选择安全服务商,到合同签订,进入实施阶段,进行安全排查和自我整改、安排测评机构现场测评及测评后整改、再测评,以及贯穿期间的材料补充和整理等 各阶段实施过程中,可参考的规范性标准依据如下: ...
  • 电子商务网站互联网安全防御攻略

    万次阅读 多人点赞 2014-12-09 18:00:16
    电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下,也希望可以和关心这一块的同行一起讨论一下这方面的话题。
  • 1、客户网站虽然已经可以使用https访问了,但网站上仍然还有http协议的js,css,jpg或iframe的资源,因此导致浏览器不出现绿色安全锁。 2、为了让浏览器完全显示https安全锁,那么需要我们在部署https协议后,对整站...
  • 本人服务器配置如下 服务器:阿里云ECS主机 2核4G内存5M带宽 操作系统:CentOS 6.9 64位(Linux) ...一夜之间网站权重报废,他娘的,我还是太菜了,服务器裸奔了半年都没想着去做安全防范,真是活该啊我(顺祝...
  • 制作安全网站的checklist

    千次阅读 2008-11-13 15:34:00
    原作者charlee、原始链接http://tech.idv2.com/2008/04/19/secure-website-checklist/ fcicq最近在IPA上看到一篇安全相关的文章,它的最末尾有个... 原文的标题是如何让网站安全。这里仅翻译文章最后的一个checkli
  • 无论你是在处理针对电子商务网站上的拒绝服务攻击,抑或在对你负责的银行系统的造假事件进行应急响应,还是在你新上线的社交网站上保护用户数据,翻阅《网站安全攻防秘笈:防御黑客和保护用户的100条超级策略》都能...
  • 常见网站安全漏洞处理

    千次阅读 2018-08-10 11:07:34
    IIS中的脚本处理代码在处理重复的参数请求时存在栈溢出漏洞,远程攻击者可以通过对IIS所承载网站的ASP页面发送特制URI请求来利用这个漏洞,导致服务崩溃。 解决方法: http://zerobox.org/bug/2716.html 11....
  • 如何做好网站安全性测试

    万次阅读 2013-08-29 09:11:26
    安全性测试(security testing)是有关验证应用程序的安全服务和识别潜在注意: 安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 532,129
精华内容 212,851
关键字:

网站安全服务