http应用隐藏:隐藏业务字段类型,F12看浏览器业务代码netwoek选项,如字段 server,X-powered-by 状态码 (4xx ,5xx)权限控制:1.文件上传过略做限制,可新建,如(.docx)等。 2.粘贴业务URL路径做策略限制用户访问。
原创
2022-08-09 03:52:56
1027阅读
点赞
1评论
当下,各种黑客工具包,安全工具包随处都是,使得网络攻击成本大大降低,随便一个小白,找个工具,一通乱扫,都能轻松入侵一台安全防护不高的服务器。而相比其他攻击,web入侵的门槛要更低一些,是小白入门首选,所以今天简单总结了一些常规的web防护,通用的一些防护。具体的防护,要根据具体的项目情况去调整,这里就不赘述了。隐藏服务器真实IP所有的攻击或入侵,都是从信息收集开始的,所以首先要做的就是隐藏服务器真
原创
2021-03-10 15:33:08
103阅读
当下,各种黑客工具包,安全工具包随处都是,使得网络攻击成本大大降低,随便一个小白,找个工具,一通乱扫,都能轻松入侵一台安全防护不高的服务器。而相比其他攻击,web入侵的门槛要更低一些,是小白入门首选,所以今天简单总结了一些常规的web防护,通用的一些防护。具体的防护,要根据具体的项目情况去调整,这里就不赘述了。隐藏服务器真实IP所有的攻击或入侵,都是从信息收集开始的,所以首先要做的就是隐藏服务器真
原创
2021-03-10 15:33:51
263阅读
当下,各种黑客工具包,安全工具包随处都是,使得网络攻击成本大大降低,随便一个小白,找个工具,一通乱扫,都能轻松入侵一台安全防护不高的服务器。而相比其他攻击,web入侵的门槛要更低一些,是小白入门首选,所以今天简单总结了一些常规的web防护,通用的一些防护。具体的防护,要根据具体的项目情况去调整,这里就不赘述了。隐藏服务器真实IP所有的攻击或入侵,都是从信息收集开始的,所以首先要做的就是隐藏服务器真
原创
2021-03-16 19:47:28
122阅读
当下,各种黑客工具包,安全工具包随处都是,使得网络攻击成本大大降低,随便一个小白,找个工具,一通乱扫,都能轻松入侵一台安全防护不高的服务器。而相比其他攻击,web入侵的门槛要更低一些,是小白入门首选,所以今天简单总结了一些常规的web防护,通用的一些防护。具体的防护,要根据具体的项目情况去调整,这里就不赘述了。隐藏服务器真实IP所有的攻击或入侵,都是从信息收集开始的,所以首先要做的就是隐藏服务器真
原创
2021-03-16 19:48:34
114阅读
二)使用认证和授权保护apach
例)[root@localhost ~]# cd /etc/httpd/
[root@localhost httpd]# touch passwd_auth
[root@localhost httpd]# htpasswd -c /etc/httpd/passwd_auth zhangsan
New password:
Re-type ne
原创
2012-05-25 22:01:58
718阅读
OpenWAF自从去年10月开源,半年来已经陆陆续续开源了各大模块,受到了多方的大量关注。最近更是刚刚开源了大家都很期待的CC模块!什么是CC?OpenWAF的CC防护又能做些什么?下面我们就会为您详细介绍。什么是CC?举个例子,城东新开了一家牛肉面馆,生意红火,顾客络绎不绝。某天,一个地方恶霸召集了手下一批小弟,一窝蜂涌入牛肉面馆,霸占了所有座位,只聊天不点菜,导致真正的顾客无法进店消费。由此,
转载
2017-04-11 20:01:27
443阅读
安全配置Security Defenses 通过对Security Defenses的配置 ,可以对http头添加相应的安全配置 ,如csp, X-Frame-Options, X-Content-Type-Option等 1 X-Frame-Options 参考:https://www.rfc-e
原创
2023-04-19 21:18:54
129阅读
1. 针对 Web 应用的攻击模式: (1)主动攻击:以服务器为目标的主动攻击:SQL 注入攻击、OS 命令注入攻击,主动攻击指的是攻击者直接访问 Web 应用,把攻击代码传入的攻击模式,需要攻击者能够访问到那些资源。 (2)被动攻击:以服务器为目标的被动攻击:利用圈套策略执行攻击代码的攻击模式,攻 ...
转载
2021-10-07 17:15:00
94阅读
最近自己建了个网站,网站安全搞了一阵,闲来没事就写写总结,方便以后查看。
### 建议
1. 服务器上能少开的端口就少开
2. 服务器最好禁ping
3. 服务器最好使用秘钥登录,禁止root账号登录
4. 应用程序千万不要使用root启动!!mysql、nginx、java程序这些最好用其他用户启动。还有,运行的用户不允许对源代码有修改的权限!
5. 程序如果有上传文件的功能,相应的目录不能有
原创
2018-04-11 21:03:46
583阅读
点赞
sql注入原理就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗
原创
2022-08-03 17:07:23
56阅读
铱迅Web应用防护系统(Web应用防火墙)
----政府网站安全保护、负载均衡加速解决方案
一.政府网站面临的问题
1. 网站遭受黑客攻击
a) 政务公开、网上办事、新
原创
2010-12-09 10:22:54
582阅读
web应用开发中不可避免需要考虑web应用的安全问题,那么常见的安全风险包含哪些呢? Web应用常见的安全风险 在web应用开发中可能存在以下的安全风险: 安全风险Top 10 A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入 ...
转载
2021-08-29 19:49:00
356阅读
2评论
http的工作原理包括4个步骤:
1.连接:浏览器与服务器建立连接打开一个socket(套接字)的虚拟文件,标志者连接的成功。
2.请求:浏览器向web提交post或是get请求。
3.应答
4.关闭连接。
apach的主要默认配置信息
1.主配置文件: /etc/httpdd/conf/httpd.conf
2.根文档目录: /var/www/html
3.访问日志文件/var/
原创
2012-05-22 19:35:04
759阅读
前篇“WEB安全防护相关响应头(上)”中,我们分享了X-Frame-Options、X-Content-Type-Options、HTTPStrictTransportSecurity(HSTS)等安全响应头的内容。下文中,我们则侧重介绍一些和跨站安全相关的响应头—— 一、Referrer-Policy--不要问我从哪里来 “互联网”这个词,顾名思义,“互联”才有意义。我们看到的一个常规页面,往往
原创
2021-06-04 14:39:51
2407阅读
SQL注入攻击(SQL Injection) 攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的
原创
2021-12-29 09:56:17
160阅读
前篇“WEB安全防护相关响应头(上)”中,我们分享了 X-Frame-Options、X-Content-Type-Options、HTTP Strict Transport Security (HSTS) 等安全响应头的内容。下文中,我们则侧重介绍一些和跨站安全相关的响应头—— 一、Referre ...
转载
2021-06-04 12:54:00
444阅读
2评论
Cisco ASA WebVPN配置实例详解实验环境如拓朴图如下:SSL VPN :在做实验之前让我们先来了解一下目前市场上VPN 产品很多,而且技术各异,就比如传统的IPSec VPN来讲, SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。SSL
原创
2014-04-03 10:21:30
730阅读
保障普通用户的安全,网站可以做些什么?
推荐
原创
2021-06-03 15:13:53
4039阅读
本指南描述如何利用京东云Web应用防火墙(简称WAF),对一个简单的网站(无论运行在京东云、其它公有云或者IDC)进行Web完全防护的全过程。
原创
精选
2022-09-08 14:36:08
581阅读
