paip.提升安全性---WEB程序安全检测与防范

最新推荐文章于 2025-12-21 23:19:35 发布
原创 最新推荐文章于 2025-12-21 23:19:35 发布 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asp.net #工具 #web #防火墙 #电子商务 #语言

本文探讨了网站程序安全性的重要性,分析了常见安全漏洞及其严重性,并提供了多种提升网站安全性的策略,包括安全培训、业务模块设计考量、开发语言选择、在线安全检测及防火墙部署等。

paip.提升安全性---WEB程序安全检测与防范

 

 

安全问题的严重性... 1

Web程序的漏洞严重性... 1

OWASPWASC安全标准... 1

程序员的安全培训... 2

业务模块设计的安全性... 2

开发语言的选择(java,asp.net,php,asp??... 2

网站在线安全检测... 3

其它客户端式WEB扫描检测程序... 3

源码级安全检查与设计... 3

网站防篡改防止挂马监控系统... 4

WEB防火墙... 4

 

安全问题的严重性

网站程序最重要的是什么??许多人可能会说是功能。。其实最重要是安全性,还是安全性..

 

比如,这个地球上有许多穷国,小国。富国大国可以把他们所有东西都买到,但是有一样东西却是无法买到,那就是军事机密,为什么呢,因为军事机密涉及国家安全,无论多小的国家都会最重视自己的安全问题,安全第一

 

对于我们个人来说,什么最重要??还有安全(人身安全),其次是财产安全..我们可以失去任何东西,但是不能失去我们的生命,否则一切就没了意义

 

所以,一个网站最大的利益,不是赚钱,而是保障安全

Web程序的漏洞严重性

WhiteHatch安全公司在一份网站安全统计报告中,采取了网络应用安全协会(WASC)危险分类工具来鉴定漏洞并依据PCI-DSS标准对其进行评级,结果显示在他们所测试的网站中有82%至少有一个漏洞,63%的漏洞等级为高级、严重或紧急。 

许多都被忽视。

网站常见的高危漏洞几乎高达150…(from360),普通漏洞则多达3600多项

OWASPWASC安全标准

这是两个WEB安全机构,从它们的主页上可以得到WEB程序的安全等级分类等..

 

程序员的安全培训

大量的网站程序是由许多安全经验不足的人写的。导致后期漏洞很多很严重..所以在网站开发之初,就应该进行安全性的培训.

把技术上的主要高危安全点都整理培训,大概可能有一百来条之多,应该花个大概三天时间左右培训一下,防患于未然对于以后安全检测以及安全BUG FIX可以做到成本上的大大节约

 

业务模块设计的安全性

一些业务模块的设计安全漏洞,也很严重,但是由于它不属于技术型的安全漏洞,网站检测工具很难检测出来..

 

在业务模块设计上,需要把握业务安全性最好整理一套业务安全规范,参照执行..

 

比如,在修改密码时,一定要验证用户的当前密码..这个大漏洞不知在多少网站上还存在..

 

比如:如果网站有在线充值账户一类的,那账户余额一定要做HASH防篡改纪录,当用户特别是内部员工直接改数据库时,会导致余额检验失败,而此账户自动锁定。。而这个几乎90%的电子商务网站都存在这个大漏洞..

 

此外:当用户交易时,一定要加交易密码功能,或者使用手机动态口令验证,而这个安全业务环节的缺失,却是很多网站都无此功能。。实为一大漏洞

 

还有:多点登录,对于电子商务网站,只要防止多点登录,就可以大大减少COOKIE/SEEESION盗用的风险。。而大部分网站都有此漏洞,没有任何防范

 

开发语言的选择(java,asp.net,php,asp??

对于WEB程序来说,开发语言也对网站安全影响重大,如果使用安全性更好的语言,则WEB程序会有更好的安全性..编译型的JAVAasp.net 安全性大大高于脚本型的PHPASP一类..

可以说提升一个数量级的安全性..同时性能也更好

 唯一的缺点是开发效率,这个只要使用快速开发方法,使用轻型快速开发框架,几乎慢不了多少..。。

网站在线安全检测

有许多好的桌面工具,最方便的是在线检测了..在线检测大都要求有自己的独立域名和IP..这个其实可以使用动态域名工具和ADSL路由开启DMZ或者NAT来实现

 

360网站安全检测,  webscan.360.cn/

把网站提交,就进行检测了,30分钟后邮箱里会收到结果..

唯一的一缺点是,不支持加端口号的URL..其它使用其它主机或者IP形式的URL都可以检测..

 

瑞星网站密码安全检测系统

union.rising.com.cn/index/index.aspx

比起360瑞星比较垃圾了..只支持WWW主机的域名。。不支持IP形式的网站,不支持端口号形式的URL..

 

EeSafe网站安全联盟

也很垃圾,不支持IP形式,不支持端口号形式的URL..只支持WWW主机的网站检测

 

其它客户端式WEB扫描检测程序

有很多

源码级安全检查与设计

但大家都知道如果缺少必要的源码级安全检查后果是很严重的,比如像discuz这样的很多论坛系统前期就是因为缺少源码级安全检测才会出现那么多严重的安全漏洞导致很多网站被拿权,数据库数据被窃取。使用源码级安全检测工具检测网站的源码就能很好的解决。

代码级安全检测工具----EeSafe网站安全检测工具。 试了下好向效果不佳啊,只会检测到一些IFRAME,EXEC等危险函数一类的。。

 

网站防篡改防止挂马监控系统

MS 360有个网站安全卫士,不知效果怎么样..

这对于提高用户体验,提高安全性来说是必要的。。当用户被你网站上的木马拿走金钱的时候,你就失去了用户..

WEB防火墙

赶紧给你的网站加个WEB防火墙吧,不要裸奔在外面了。

attilax
关注
paip.提升安全性-----使用HTTPS SSL
attilax的专栏
08-25 2398
paip.提升安全性-----使用HTTPS SSL   前言... 1 HPPTS SSL过程... 1 获得SSL证书:1 建立HTTPS,绑定SSL证书,1 参考:... 1     前言 我们知道HTTP是不安全的,网络节点的任何人都可以截获到你的明文密码。。解决方案就是HTTPS ,SSL 。。。我的环境是WIN7  ,IIS7,以此为例说明架设SSL环境全
paip.提升安全性---登录密码出错次数检测
attilax的专栏
09-07 1973
paip.提升安全性---登录密码出错次数检测     前言... 1 设计接口... 1 流程设计(伪码)... 1 使用此接口... 2 实现接口... 3     前言 为了提升安全性,需要对登录时,密码出错次数进行检测,当达到一定次数时,如20次,禁止用户当日进行登录。。提示用户可通过取回密码功能,来重设密码   设计接口 public interfa
paip.提升安全性-----时间判断
attilax的专栏
08-18 2505
paip.提升安全性-----时间判断 常常有这样的情景,我们需要在编码中需要根据时间来执行某段代码,但是这段时间判断代码又不希望被别人看懂..特别是不能出现日期字串,以 防止别人猜明意思 伪码如下: if( nowtime>"2013.1.1" ) {...........//some code } 一个比较好的办法是使用magic number,并且不要使用相关的时间函数..
paip.提升安全性-----动态KEY
attilax的专栏
09-12 1638
paip.提升安全性-----动态KEY 作者Attilax    ,  1466519819@qq.com 当我们在两个模块间传递数据时,如果在公网上,需要进行签名.. 一般常用MD5,使用KEY来签名..常用的加密也有3DES等.. 但是这个KEY是静态的,难以防止暴力破解..有可能造成极大的安全隐患.. 所以我们需要一个动态KEY。。可以自动更换。。 更换因子,最好的就是时间了。
paip.提升安全性--CRSF跨站请求伪造的检测防范
attilax的专栏
09-23 2587
paip.提升安全性--CRSF跨站请求伪造的检测防范 作者Attilax , 1466519819@qq.com 在用户的重要活动中,要防止CRSF攻击。。 比如修改密码时 转账时 删除资料时 修改资料时 有以下几种方法可以防范。。 1.比如在转账时,要求用户输入交易密码.. 2..操作时使用验证码,用户体验不好。。 3.显示确认页面。 4.修改密码时,显示当前用户名
paip.提升安全性---防止敏感文件被下载
attilax的专栏
09-26 2716
paip.提升安全性---防止敏感文件被下载 作者Attilax , 1466519819@qq.com 比如一些重要的设置文件,以及KEY文件等,不希望被下载到查看到。 可以配置WEB服务器拒绝此扩展名的URL..比如 http://localhost/chinapay/key/PgPubk.key   如果 是IIS7.。 请求筛选模块被配置为拒绝该文件扩展名。 ?确认 app
paip.提升安全性----软键盘的弱点
attilax的专栏
09-16 1772
paip.提升安全性----软键盘的弱点 作者Attilax    ,  1466519819 为了防范键盘记录器,我们使用了软软键盘,但是,它也有弱点,那就是屏幕抓屏木马。。。。可以被这种木马获取我们的密码.. 最好的办法就是组合使用.. 前几位可以使输入用键盘,后几位必须使用软键盘,可大大提升安全性.. 或者使用电子口令器,每几分钟生成一个动态密码,在一定时间范围内,可以同步验证..
paip.提升安全性--360,WI,AWVS三款WEB程序安全检测软件使用总结
attilax的专栏
09-21 4041
paip.提升安全性--360,WI,AWVS三款WEB程序安全检测软件使用总结 作者Attilax , 1466519819@qq.com 我的网站先用360网站在线检测了下,结果说我98分。没漏洞。。 然后用Acunetix Web Vulnerability Scanner 7,发现两个SQL注入漏洞.. 然后又用WebInspect 9.20,发现了两个SQL注入漏洞,两个XSS
PAIP.提升安全性---更好的签名HASH算法
attilax的专栏
09-24 2656
PAIP.提升安全性---更好的签名HASH算法 作者Attilax    ,  1466519819@qq.com 我们平日在签名的时候常用MD5,SHA-1等算法,MD5的话早就已经过时不安全了... SHA系列包括SHA-1,SHA-224,SHA-256,SHA-384,和SHA-512这几种单向散列算法。SHA-1,SHA-224和SHA-256适用于长度不超过 2^64二进制位
paip.提升安全---网站登录密码明文传输的登录高危漏洞解决方案
热门推荐
attilax的专栏
09-21 1万+
paip.提升安全---绝大多数网站的登录高危漏洞解决方案   作者Attilax , 1466519819@qq.com   WEB登录密码明文传输的严重性... 1 JS实现 RSA非对称加密算法... 1 加解密及传输流程... 1 后台产生一对公钥下发给WEB... 2 WEB页JS调用公钥进行加密提交... 2 后台校验密码不能为空... 3
paip.提升用户体验---c++ qt 悬浮窗实现
attilax的专栏
09-23 7213
paip.提升用户体验---c++  qt 悬浮窗实现 作者Attilax ,  EMAIL:1466519819@qq.com  来源:attilax的专栏 地址:http://blog.csdn.net/attilax 功能:一个悬浮窗,一个普通窗体..  双击悬浮窗可以显示或者隐藏普通窗体... 1.建立悬浮窗: -----------------
paip.提升效率---源码生成流程图工具
attilax的专栏
09-18 3379
paip.提升效率---源码生成流程图工具 常常,会发现一些又臭又长的代码。很难看清逻辑..最好的办法,就是一 款流程图生成器,从中生成流程图,以便分析流程,更改或者重构...   Code Visual 代码编辑器(code visual to flowchart v6.0) -------------------------------------------------------
paip.提升用户体验-------在C++ Builder 中为Form窗体添加背景图片
attilax的专栏
10-15 4239
paip.在C++ Builder 中为Form窗体添加背景图片 作者Attilax ,  EMAIL:1466519819@qq.com  来源:attilax的专栏 地址:http://blog.csdn.net/attilax Form窗体添加背景图片,一般好几种方法: 1.设置法.但是有些gui库没有提供. 2.image法,不个image放的个最底下. 3.
Paip.语义分析----情绪情感词汇表总结
attilax的专栏
11-07 4901
Paip.语义分析----情绪情感词汇表总结   以下词语是按感情色彩共分为十四类:   作者Attilax  艾龙,  EMAIL:1466519819@qq.com  来源:attilax的专栏 地址:http://blog.csdn.net/attilax   一、喜 高兴、欢喜、满意、如愿、幸福、如意、顺心、随心、称心、快乐、高兴、豁朗、喜欢、愉快、甜美、愉快、舒服、甜蜜
WebRTC多人通信深度解析:从核心原理到架构选型
最新发布
琅嬛福地
12-21 173
WebRTC(Web Real-Time Communication)作为一项革命性的实时通信技术,其核心在于实现浏览器或移动应用之间无需插件的点对点(Peer-to-Peer, P2P)音视频和数据通信。然而,在多人通信场景下,问题变得复杂。一个稳定、高效的WebRTC多人通信系统,其背后是一套精密的协议栈和架构设计。本章节将深入剖析WebRTC多人通信的三大核心支柱:信令交互、ICE协商以及媒体流传输安全保障。信令交互是通信双方建立连接的“语言”,负责交换必要的元数据;
【嵌入式AIoT】系统架构轻量化模型部署:面向智能家居工业监测的边缘智能终端实战设计
12-21
内容概要:本文系统介绍了嵌入式AIoT应用场景的实战方法实践路径,涵盖从场景选择、系统架构设计到AI模型部署、通信数据管理的全流程。重点阐述了嵌入式系统人工智能、物联网技术的融合,强调在资源受限环境下实现感知、分析决策一体化的智能终端系统。文章详细解析了感知层、边缘计算层和云端服务层的协同机制,突出边缘侧数据处理轻量化AI模型优化的重要性,并倡导以实际需求为导向,避免“为AI而AI”的设计误区。同时,强调系统稳定性、远程维护和长期运行能力的建设。; 适合人群:具备嵌入式系统基础、物联网或AI相关背景,有一定开发经验的工程师或工作1-3年的技术研发人员;适用于希望深入理解AIoT系统集成实战落地的学习者。; 使用场景及目标:①智能家居、工业监测、智慧农业等分布式智能系统开发;②在算力、功耗受限的嵌入式设备上实现AI推理边缘智能;③构建高效、可靠、可维护的端云协同AIoT系统。; 阅读建议:建议结合实际硬件平台进行项目化学习,边学边练,重点关注系统架构设计、模型优化通信协议选型,注重整体系统思维的培养,而非仅关注单一技术点。
基于Python 的UART 文件传输工具
12-21
基于Python 的UART 文件传输工具,基于Pyside6的GUI界面
C# 基于 Onnx P2PNet 的人群检测计数系统源码实现
12-21
基于C#编程语言Onnx运行时环境,本文档详细阐述了一种利用P2PNet架构实现人群密度估计个体计数的技术方案。该方案通过解析预训练模型,实现了对图像或视频流中人群分布的精准检测,并提供了可靠的计数功能。核心内容包括模型加载推理流程的完整实现、数据处理管道的构建以及性能优化策略的探讨。本文旨在为相关领域的开发人员提供一个清晰、可复现的参考实现,着重于工程实践的严谨性代码模块的可用性。所有实现代码均经过结构化组织详细注释,以确保其易于理解集成。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
Theoretical Machine Learning Notes (Princeton COS511)
12-21
根据原作 https://pan.quark.cn/s/459657bcfd45 的源码改编 Classic-ML-Methods-Algo 引言 建立这个项目,是为了梳理和总结传统机器学习(Machine Learning)方法(methods)或者算法(algo),和各位同仁相互学习交流. 现在的深度学习本质上来自于传统的神经网络模型,很大程度上是传统机器学习的延续,同时也在不少时候需要结合传统方法来实现. 任何机器学习方法基本的流程结构都是通用的;使用的评价方法也基本通用;使用的一些数学知识也是通用的. 本文在梳理传统机器学习方法算法的同时也会顺便补充这些流程,数学上的知识以供参考. 机器学习 机器学习是人工智能(Artificial Intelligence)的一个分支,也是实现人工智能最重要的手段.区别于传统的基于规则(rule-based)的算法,机器学习可以从数据中获取知识,从而实现规定的任务[Ian Goodfellow and Yoshua Bengio and Aaron Courville的Deep Learning].这些知识可以分为四种: 总结(summarization) 预测(prediction) 估计(estimation) 假想验证(hypothesis testing) 机器学习主要关心的是预测[Varian在Big Data : New Tricks for Econometrics],预测的可以是连续性的输出变量,分类,聚类或者物品之间的有趣关联. 机器学习分类 根据数据配置(setting,是否有标签,可以是连续的也可以是离散的)和任务目标,我们可以将机器学习方法分为四种: 无监督(unsupervised) 训练数据没有给定...
paip
03-12
### PAIP编程珠玑中的示例代码解释 PAIP(Paradigms of Artificial Intelligence Programming)是一本深入探讨人工智能编程范式的书籍,其中包含了大量 Lisp 编写的程序实例。这些例子不仅展示了如何实现特定的人工智能算法,还提供了关于良好软件工程实践的重要见解。 #### 示例:通用求解器框架 书中介绍了一个名为 `defun` 的宏来定义函数,在构建通用问题解决器时非常有用[^1]: ```lisp (defun solve (problem) "Find a solution to the given problem." (let ((solution nil)) ;; Attempt to find a solution using backtracking. (labels ((try-next-option () (when (not solution) (if (no-more-options-p ()) (return-from try-next-option nil) (let* ((option (next-option))) (cond ((goal-reached-p option) (setf solution option)) (t (push-state option) (solve problem) (pop-state)))))))) (try-next-option) solution))) ``` 这段代码实现了回溯法解决问题的一般模式。通过递归调用自身并尝试不同的选项直到找到解决方案为止。如果当前路径无法通向目标,则会恢复之前的状态继续探索其他可能性。 此方法能够有效地处理许多复杂的组合优化类问题,并且由于其灵活性可以很容易地适应各种具体应用场景下的需求变化。 #### 示例:自然语言理解模块 另一个重要的部分涉及到了自然语言处理技术的应用案例——基于语法分析树结构来进行语义解析: ```lisp (defun parse-sentence (sentence) "Parse SENTENCE into its constituent parts and build an interpretation tree." (multiple-value-bind (subject verb-object) (split sentence 'verb) `(sentence :subject ,(parse-noun-phrase subject) :action ,verb-object))) (defun parse-noun-phrase (np-string) "Interpret NP-STRING as either a simple noun or compound phrase." ...) ``` 上述片段演示了如何将输入字符串分割成主谓宾成分,并进一步解析名词短语的具体含义。这种层次化的表示方式有助于后续更高级别的推理操作以及对话管理等功能的设计实现。 #### 示例:专家系统规则引擎 最后值得一提的是书中对于专家系统的讨论,特别是有关于事实库管理和匹配机制的部分: ```lisp (defstruct fact id pattern bindings) (defun match-patterns (pattern facts) "Return all FACTS that unify with PATTERN, along with their BINDINGS." ...) (defun add-fact (kb new-fact) "Add NEW-FACT to knowledge base KB after checking consistency against existing rules." ...) ``` 这里展示了一种简单而有效的知识表达形式及其相应的查询接口设计思路。通过对模式进行统一化计算从而快速定位符合条件的事实条目;而在更新数据库前则需确保新加入的信息不会引起逻辑矛盾等问题的发生。 以上仅是从《Programming Pearls》一书摘取的一些精彩片段,实际上该著作涵盖了更为广泛的内容领域和技术细节等待读者去发掘学习。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值