SSH是一个用来替代TELNET、FTP以及R命令的工具包,主要是想解决口令在网上明文传输的问题。为了系统安全和用户自身的 权益,推广SSH是必要的。 SSH是英文Secure Shell的简写形式。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够...
分类:
系统相关 时间:
2015-03-16 19:02:05
阅读次数:
257
虚拟化的意义:资源隔离,如磁盘、网络的隔离与分配资源配额,如cpu、内存的配额,给出了配额的上限,那么能更大限度的榨取服务器的性能虚拟化使得一台服务器上能运行多种操作系统特权模式: 普通操作系统具有核心模式和用户模式。核心模式下运行系统关键的进程及关系到系统安全的敏感指令(如中断处理、内存操作等) ...
分类:
其他好文 时间:
2015-03-14 21:32:12
阅读次数:
132
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 反射型XSS漏洞如果一个应用程序使用动态页面向用户显示错误消息,如果系统没有对用户输入的内容进行过滤和处理,就会造成一种常见的XSS漏洞。
提取用户提交的输入并将其插入到服务器响应的HTML代码中,这是XSS漏洞的一个明显特征;如果应用程序没有实施任何过滤或净化措施,那么它很容易受到攻击。...
分类:
其他好文 时间:
2015-03-13 16:33:21
阅读次数:
163
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、HTTP参数注入攻击如果用户提交的参数,被用做后端HTTP请求中的参数,这个时候就有可能会导致HTTP参数注入。
一个自己想出来的烂比方:
一个P2P的转账系统:钱(money),从哪里(from)到哪里去(to).
一个很简单的系统。开发的时候为了复用代码,加了一个判断字符(check...
分类:
Web程序 时间:
2015-03-12 17:19:32
阅读次数:
130
最近系统出现了一些异常操作,但至今只核查出了大概,仍未完全清晰。对于系统的安全日志有了一些总结。
1、系统登录必须记录日志
日志的内容必须包括:登录时间、登出时间、登录ip、主机名、MAC地址...
分类:
其他好文 时间:
2015-03-12 15:14:35
阅读次数:
181
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、XML注入在我们经常开发、使用、运维的系统中,XML的使用频率是非常的高的。我们给服务器提供数据可能是XML(对用户而言不是,对系统和服务之间是),服务器返回给客户端的可能也是XML。
XML的功能本身非常强大,但是很多的时候我们并没有去理解它的强大的功能,而只是当它作为常规的数据传输的载体...
分类:
数据库 时间:
2015-03-12 11:31:19
阅读次数:
215
安全与方便始终是对立的,然而运维人员忽视系统安全方面的建设,带来的后果将是非常严重的,以下是一台未上线服务器入侵后的攻防经历。一、出现异常,排查原因发现异常是通过远端监控脚本发现访问网站时断时续,使用ssh工具连接会经常断掉连接,无法开展工作。使用其他服务器对..
分类:
Web程序 时间:
2015-03-11 15:06:38
阅读次数:
208
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 前提执行安全的验证机制,不仅仅要同时满足几个关键安全目标,许多的时候也需要牺牲其他目标。比如易用性、成本、还有功能。2、 防止滥用密码修改的基本要求一些基本要求,写下来,以后也可以参考。
1. 加一个简单图片验证码,基本确保是人在操作,而不是机器;
2. 只能从已经通过验证的会话中访...
分类:
其他好文 时间:
2015-03-10 08:59:45
阅读次数:
165
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明登陆功能的公开性,让无数的攻击者都试图猜测用户名和密码,从而获得未授权访问系统的权利。
作为系统的使用者,必须让自己的系统更加健壮,以应对狡猾的攻击者。
作为攻击者,需要去观察系统的各种细节情况,获得贴近实际的信息。2、 智能化的蛮力攻击登陆步骤我们首先需要有一个弱密码的系统,这...
分类:
其他好文 时间:
2015-03-07 22:49:15
阅读次数:
170
首先需要声明,本文纯属一个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明继续说故事,某一天产品经理策划了一个方案,要搞一个促销。一个用户最多只能用一次鸡蛋优惠券。
开发人员需要对系统进行修改和调整。
让我们脑补一下,传统行业搞互联网电商的场景:
产品经理:赶快改,赶快上,赶快搞活动
运维经理:版本升级,提交上线评估报告,风险测试报告,系统测试报告...
分类:
Web程序 时间:
2015-03-07 21:21:26
阅读次数:
210
