- 博客(5)
- 收藏
- 关注
RSS订阅原创 Web安全加固小结
无论是哪种Web服务器,Web安全加固的原理都是一样的,即需要将Web目录的属主更改为一个非root或Administrator且不能和数据库时同一个的用户,用户名设置为非常见的名字且密码要相当复杂以防暴破,接着应遵循一个原则,即尽量不提供写功能,即使能写也不能执行、能执行也不能写入权限,另外还需要对错误显示的信息进行统一的处理、以免暴露服务端信息,同时还需要平时备份数据、审计Web日志、及时升级相关组件、打补丁以及做做安全压力测试等。...
2021-05-07 12:03:31
409
1
原创 常见的Web漏洞及防范
一、SQL注入漏洞SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。通常情况下,SQL注入的位置包括:(1)表单提交,主要是POST请求,也包括GET请求;(2)URL参数提交,主要为GET请求参数;(3
2021-05-07 12:00:33
157
原创 判断口令强度
程序passworrd.cpp中可以对用户的口令强度进行判断,在Blog项目中为用户注册模块添加前端口令强度检测功能,要求:口令长度不少于6位,口令至少包含数字、小写字母、大写字母、特殊符号中的三种,当不满足要求时返回相应提示。...
2021-05-07 11:56:49
642
原创 对称加密以及哈希函数
哈希函数又称为单向散列函数,任意长度经过哈希函数变成一个固定的值,且具有不可逆性。输入相同,输出一定相同,不同的输入数据想要获得相同的输出很难,概率很低。常见的哈希算法如:MD5、SHA1(有衍生系列)、HMAC(基于秘钥的哈希运算)保证了完整性和来源真实性可用作判断数据的完整性,例如A发送数据以及经过哈希后的值,B接受使用相同的哈希函数计算的值与A发送的值作为对比判断数据的完整性(即是否被修改),但是并不能判断数据的真实性,即数据是否是A本人发送,有可能是C伪装成A。对称加密算法:使用相同的秘钥来
2021-05-07 11:39:54
733
原创 黑客攻击的一般流程
预攻击:收集信息,进行进一步攻击决策–内容:获得域名及IP分布,获得拓扑及os等,获得端口和服务,获得应用系统情况,跟踪新漏洞发布攻击: 进行攻击,获得系统的一定权限–内容:获得远程权限,进入远程系统,提升本地权限,进一步扩展权限,进行实质性操作后攻击:清除痕迹,长期维持一定的权限–内容:植入后门木马,删除日志,修补明显的漏洞,进一步渗透扩展...
2021-05-07 10:43:05
1866
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人