使你的网站更安全吧

最新推荐文章于 2024-08-01 20:00:00 发布
最新推荐文章于 2024-08-01 20:00:00 发布
阅读量144 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44716496/article/details/106763669
版权

前言

我在myssl.com上检测我的网站是否安全时发现我的网站只能评到A
然后我花了大量的时间让他评到A+
我想把这件事情记录下来

正文

0x00 HSTS

我第一次检测发现一个叫HSTS的东西不合规
我上网查了查原来是需要配置一个东西
让客户端知道在接下来的<15552000(大约180天)秒内使用https协议访问
配置方法
Nginx

add_header Strict-Transport-Security "max-age=15553000; includeSubdomains; preload";

Apache

# Apache 需加载 mod_header 库,一般位于 httpd.conf 文件,搜索 mod_headers 并取消注释。(已加载可跳过)
LoadModule headers_module modules/mod_headers.so 
#然后对应站点 VirtualHost 里面插入HSTS响应头信息
Header always set Strict-Transport-Security "max-age=15768500; includeSubdomains; preload"

宝塔面板可以直接在网站&gt;配置文件中添加

0x01 ATS配置

配置好HSTS之后发现又有一个ATS需要配置直接降到了B机
ATS是苹果公司在App Store上架需要的配置
Apache在httpd.conf中最后添加

<IfModule mod_ssl.c>
        <VirtualHost *:443>
        SSLProtocol TLSv1 TLSv1.1 TLSv1.2
        SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
        </VirtualHost>
</IfModule>

即可

Nginx修改nginx.conf文件在里面添加

server {
        listen 443;
        server_name test.com; //你的域名
        ssl on;
        ssl_certificate https://zigao-oss.oss-accelerate.aliyuncs.com/web/blog.zigao.info/assets/local/nginx/conf/test.com.crt; //从godaddy上下载下来合并的文件
        ssl_certificate_key https://zigao-oss.oss-accelerate.aliyuncs.com/web/blog.zigao.info/assets/local/nginx/conf/test.com.key; //自己申请证书时做的key
        ssl_session_timeout 5m;
        ssl_protocols  TLSv1 TLSv1.1 TLSv1.2; //安全协议,iOS ATS只支持TLSv1.2即以上
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_prefer_server_ciphers on;
        location / {
                proxy_pass http://test.com; //这里是我要代理的apache的域名
                client_max_body_size 35m;
        }
    }

就可以了

后记

最后重启一下Nginx或者是Apache
不使用TLS1.0就可以符合PCI DSS标准
在myssl.com中检测就是A+啦
批注 2020-02-28 135605.png
文中大部分内容来自网络我只是整合如果需要联系删除
还有什么留言吧

Zi Gao
关注
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
杨秀璋的专栏
08-06 1万+
上一篇文章分享了解BurpSuite工具的安装配置、Proxy基础用法,并分享一个简单的暴库案例;本篇文章分享实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”。非常有意思的文章,作为在线笔记,希望对入门的博友们有帮助,大神请飘过,谢谢各位看官!
网络安全事件应急响应实战二
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
Web安全-一句话木马
道阻且长,行则将至
05-08 36万+
在很多的渗透过程中,渗透人员会上传一句话木马到目标web服务目录继而提权获取系统权限,不论asp、php、jsp、aspx都是如此,那么一句话木马到底是什么呢?
HTTPS安全网站访问
山鬼谣弋痕夕的博客
07-28 8593
HTTPS采用的是TLS协议+SSL证书实现安全网站访问的。  概述:SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 转载出处:http://www.haomou.net/2014/08/30/2014_htt...
即将开学,为校园网络安全助力
小虚竹的专栏
08-24 3万+
校园网络安全助力
如何判断一个网站地址是否可以安全访问?
u013771353的专栏
03-20 6107
今天我在QQ上分享一个游戏租号网址的时候,遭到了群友的怀疑。可能你会说我分享的,肯定是带数字的奇怪网址,要不是很长一大串连协议头都没有的神秘链接,要不就是显示了一个大大感叹号的链接 比如这样的:。然而我分享的是一个绿标链接:,这是一个游戏租号网址。为了解除群友不必要的误解,我也心血来潮想解释一下究竟用什么办法来判断一个网站地址是否可以安全访问,那有一个简单办法,看域名备案信息。没有备案的网站,我觉得只能靠以前接触过一些网络安全知识、经验来判断了,比如qq上分享的链接看绿标,腾讯安全-网址安全中心查询等等,
MaiPDF让你的数据安全得到保护
weixin_40612099的博客
03-24 4027
MaiPDF让你的数据安全得到保护 随着经济社会的发展和网络科技的新,我们的数据安全意识越来越强,但是仍有大量的数据安全受侵事件层出不穷,这让我们不得不采取措施来应对这样的挑战。而我们的MaiPDF正好可以有效避免这样的侵害,让你的数据安全得到有效保护。 MaiPDF最注重的就是言行一致,我们可以让你的数据安全得到保护是因为我们MaiPDF功能齐全,操作流程简单,用途广泛,实施效果卓佳,成效显著...
推荐10个堪称神器的学习网站
热门推荐
沉默王二
02-25 48万+
每天都会收到很多读者的私信,问我:“二哥,有什么推荐的学习网站吗?最近很浮躁,手头的一些网站都看烦了,想看看二哥这里有什么新鲜货。” 今天一早做了个恶梦,梦到被老板辞退了。虽然说在我们公司,只有我辞退老板的份,没有老板辞退我这一说,但是还是被吓得 4 点多都起来了。(主要是因为我掌握着公司所有的核心源码,哈哈哈) 既然 4 点多起来,就得好好利用起来。于是我就挑选了 10 个堪称神器的学习网站,推...
跟我学,你的服务器安全吗?第一篇----centos系统安全篇
zhumengyisheng的博客
12-10 4061
你的服务器够安全吗?是否经常被黑客攻击?网站怎么又被黑了?这可怎么搞啊?本文主要为服务器的自身安全问题,主要为linux的系统安全问题,本文使用的是centos系统
不懂技术怎么让服务器安全,几个插件让你的服务器安全(防攻击防注入)
m0_67463839的博客
03-07 4201
购买服务器后,有些同学不太熟悉服务器的安全策略。对于常见的sql注入、cc等常见的攻击方式不太熟悉。怎么好好利用插件让服务器加安全呢? 下面我分享一下我在服务器安装的宝塔面板基础配置,希望大家也能分享一下有效的方法,让我们的网站加安全。 使用宝塔面板的服务器,可以在官方的这里搜索一下 防火墙, 有两个免费的插件,可以选官方提供的,也可以选下面的那个,我选的是第三方开发的。 服务器没有安装防火墙的话,就相当于在裸奔,很多靠工具的新手黑客都能轻松黑进我们服务器为所欲为,所以我们有条件就买宝塔官
【网络安全】一篇文章带你了解CTF那些事儿
2301_77160226的博客
08-01 2581
CTF,即 Capture The Flag,中文名为夺旗赛,是一种网络安全技术人员之间进行技术竞技的比赛形式。在 CTF 比赛中,参赛者需要通过解决各种与网络安全相关的技术挑战来获取“旗帜”,这些挑战通常涵盖了多个领域的知识和技能,例如密码学、Web 安全、逆向工程、漏洞挖掘与利用、隐写术、二进制分析等等。比如说,在密码学相关的挑战中,可能需要参赛者破解加密的信息或算法来获取关键线索;Web 安全挑战可能要求找出网站存在的漏洞并加以利用;逆向工程则可能涉及对未知软件或程序的分析和理解。
2022全国职业技能大赛-网络安全赛题解析总结①(超详细)
Aluxian_的博客
05-11 2万+
2022全国职业技能大赛-网络安全赛题解析总结(自己得思路)模块A 基础设施设置与安全加固(20分)模块B 网络安全事件响应、数字取证调查和应用安全(40分)模块C CTF夺旗-攻击(20分)模块D CTF夺旗-防御(20分) 模块A 基础设施设置与安全加固(20分) 一、项目和任务描述: 假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录安全加固、数据库安全策略、流量完整性策略、事件监控策略、防火墙策略、IP协议安全配置等多种安全策略来提升服务器系
信息安全概述
Thewei666的博客
07-05 1330
一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁。
自动驾驶规划与控制算法详解:从Apollo 6.0 EMplanner到PID、模糊控制、LQR、MPC
05-27
内容概要:本文深入探讨了自动驾驶领域的规划与控制算法,重点介绍了Apollo 6.0的EMplanner规划模块和常用的控制算法如PID、模糊控制、LQR、MPC。规划部分涵盖了路径规划、决策制定、安全性、效率和实时性的实现;控制部分详细解析了各控制算法的原理及其在自动驾驶中的应用。此外,作者还分享了丰富的实践经验,强调了实践、安全、灵活运用算法和持续学习的重要性。 适合人群:对自动驾驶技术感兴趣的工程师、研究人员及即将进入该领域的毕业生。 使用场景及目标:①理解和掌握自动驾驶规划与控制的基本原理和技术;②对比不同控制算法的特点和应用场景;③获取宝贵的行业经验和职业发展指导。 其他说明:本文不仅提供了理论知识,还结合了大量实际工作经验,有助于读者好地应对技术和职业挑战。
### 【大数据技术】Hadoop、Flink、Hive、Spark、Kafka、Zookeeper、HBase安装与配置指南:构建分布式集群系统
05-27
内容概要:本文档详细介绍了在三台CentOS 7服务器(IP地址分别为192.168.0.157、192.168.0.158和192.168.0.159)上安装和配置Hadoop、Flink及其他大数据组件(如Hive、MySQL、Sqoop、Kafka、Zookeeper、HBase、Spark、Scala)的具体步骤。首先,文档说明了环境准备,包括配置主机名映射、SSH免密登录、JDK安装等。接着,详细描述了Hadoop集群的安装配置,包括SSH免密登录、JDK配置、Hadoop环境变量设置、HDFS和YARN配置文件修改、集群启动与测试。随后,依次介绍了MySQL、Hive、Sqoop、Kafka、Zookeeper、HBase、Spark、Scala和Flink的安装配置过程,包括解压、环境变量配置、配置文件修改、服务启动等关键步骤。最后,文档提供了每个组件的基本测试方法,确保安装成功。 适合人群:具备一定Linux基础和大数据组件基础知识的运维人员、大数据开发工程师以及系统管理员。 使用场景及目标:①为大数据平台搭建提供详细的安装指南,确保各组件能够顺利安装和配置;②帮助技术人员快速掌握Hadoop、Flink等大数据组件的安装与配置,提升工作效率;③适用于企业级大数据平台的搭建与维护,确保集群稳定运行。 其他说明:本文档不仅提供了详细的安装步骤,还涵盖了常见的配置项解释和故障排查建议。建议读者在安装过程中仔细阅读每一步骤,并根据实际情况调整配置参数。此外,文档中的命令和配置文件路径均为示例,实际操作时需根据具体环境进行适当修改。
欧姆龙CJCP程序在锂电池贴胶检测线中的PLC通信与多机协同控制方案
最新发布
05-27
内容概要:本文详细介绍了欧姆龙CJ/CP系列程序在全自动CE锂电池贴胶检测机中的应用。该系统基于欧姆龙CP1H-XA主机和CIF串口模块,实现了高效的PLC通信与多机协同操作。主要功能包括轴控制、一键换型、故障记录、产量统计及OEE计算等。此外,还提供了优质的触摸屏程序模板和多种可重复调用的功能块,如气缸报警、真空报警和轴实时位置脉冲转毫米功能块。整条生产线由四台不同功能的机器组成,配备四套PLC和触摸屏程序,采用八套主从站控制,确保系统的高可靠性和强大适应性。 适合人群:从事工业自动化领域的工程师和技术人员,特别是对PLC编程和控制系统有需求的专业人士。 使用场景及目标:适用于需要构建高效稳定的锂电池贴胶检测生产线的企业。目标是提高生产效率、减少停机时间、优化资源配置并提升产品质量。 其他说明:文中不仅提供了详细的硬件配置介绍,还包括具体的梯形图和ST代码示例,帮助读者好地理解和实施相关技术。
音乐APP界面设计素材Music App ui设计psd源文件.rar
05-27
音乐APP界面设计素材Music App ui设计psd源文件.rar
第2章施工项目管理概述.ppt
05-27
第2章施工项目管理概述.ppt
那你帮我写一个基于django的电商网站
08-11
### 回答1: 好的,我可以为您提供有关Django电子商务网站的基本信息和建议,但是无法为您编写完整的电子商务网站。 Django是一个流行的Python Web框架,具有可扩展性和可维护性。要创建一个基于Django的电子商务网站,您需要首先定义您的数据模型,例如产品、订单和客户等。然后,您可以创建视图函数和模板来处理用户请求和呈现HTML响应。还可以使用Django的内置表单处理和验证用户输入。 在创建电子商务网站时,安全性和性能也很重要。您可以使用Django的安全功能,例如防止跨站请求伪造(CSRF)和防止SQL注入等。您还可以考虑使用缓存来提高网站性能。 总之,Django是一个强大的框架,可以帮助您创建功能强大且安全的电子商务网站。如果您需要具体的帮助,请参考Django官方文档和社区论坛。 ### 回答2: 当然可以帮你写一个基于Django的电商网站。首先,我们需要安装Django,并创建一个新的Django项目。接下来,我们可以定义数据库模型来存储商品信息、用户信息和订单信息等。然后,我们可以创建相应的视图函数和URL路由,用于处理用户的请求并呈现相应的页面。我们还可以使用Django的Form组件来实现用户注册、登录和购物车等功能。另外,我们可以使用Django的内置的用户认证系统来管理用户的权限和访问控制。 在电商网站中,我们还可以实现商品列表页面、商品详情页面、购物车页面和订单页面等。可以使用Django的模板语言来渲染页面,并通过模板继承来实现页面的重用。此外,我们还可以集成第三方支付API来实现在线支付功能。 为了提升用户体验,可以使用Django的缓存机制来加快网站的响应速度。另外,可以使用Django的任务调度器来处理一些异步任务,如发送邮件和生成订单报告等。 在开发过程中,可以使用Django的自动化测试工具来编写测试用例,确保网站的功能和性能达到预期。此外,可以使用Django的后台管理界面来管理网站的后台数据,如商品管理、用户管理和订单管理等。 最后,在部署网站时,可以使用Django的部署工具来配置服务器环境和设置网站的静态文件和数据库等。可以使用Django的性能调优工具来进一步优化网站性能,如缓存机制和数据库索引等。 总之,基于Django的电商网站可以通过合理规划数据库模型、编写视图函数和URL路由、使用模板语言渲染页面,以及集成其他功能来实现。这只是一个简单概述,具体的实现还需根据具体需求进行细化和定制。 ### 回答3: 当然可以帮你写一个基于django的电商网站!Django是一个功能强大且灵活的Python Web框架,非常适合开发电商网站。 首先,我们可以创建一个Django项目,并设置相关的配置,包括数据库连接、路由和模板引擎等。接着,我们可以创建一些基础的模型来表示电商网站的核心概念,例如用户、商品、订单等。通过Django的ORM(对象关系映射),我们可以方便地操作数据库,实现数据的增删查改功能。 然后,我们可以创建相应的视图函数来处理不同页面的逻辑。比如,我们可以编写注册、登录、商品列表、购物车以及订单结算等功能的视图函数。这些函数中会包含一些业务逻辑,例如验证用户输入、查询数据库、处理表单提交等。 同时,为了增强用户体验,我们可以编写一些静态文件,如CSS和JavaScript,来美化页面并添加一些交互性的功能。通过Django的静态文件管理器,我们可以非常方便地管理和加载这些静态资源。 此外,为了保护用户安全和提供好的性能,我们可以实现用户认证和权限管理系统。Django已经提供了一些强大的内置认证模块,我们可以使用这些模块来实现用户的注册、登录、密码重置等功能。同时,可以将用户划分为不同的权限组,以限制不同用户的访问权限。 最后,我们可以根据需求添加一些其他功能。比如,我们可以集成支付系统,以实现在线支付功能。也可以添加用户评论和评分系统,让用户能够对商品进行评价。除了这些基本功能外,我们还可以根据实际需求定制一些特别的功能,如优惠券系统、会员积分等。 总的来说,基于django的电商网站开发需要设计合理的数据库模型、编写相关的视图函数以及实现一些常见的功能模块。希望这个简要的介绍能够帮助到你。如果有需要,我可以提供详细的指导和帮助,让你顺利完成这个项目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值