网站安全
mituan1234567
今天比昨天更好明天比今天更好为此不屈不挠地工作勤勤恳恳地经营孜孜不倦地修炼我们人生的目的和价值就是这样确确实实地存在着
展开
-
把Web集群由HTTP转换为HTTPS(LVS+HAProxy+SSL)
http://www.linuxidc.com/Linux/2016-08/134233.htm一、环境介绍 接到通知,要求网站由http改为使用https,目前我的网站前端架构如下图所示: 假设我们有两台物理机,每台物理机上面有很多的tomcat容器,前端使用的是haproxy进行的http层负载均衡,再前端我们使用了LVS负载均衡,整个LVS使用转载 2016-10-13 16:12:20 · 3112 阅读 · 0 评论 -
Nginx通过修改连接简单防御CC攻击的方法
http://down.chinaz.com/server/201111/1381_1.htmCC攻击可以归为DDoS攻击的一种。他们之间都原理都是一样的,即发送大量的请求数据来导致服务器拒绝服务,是一种连接攻击。CC攻击又可分为代理CC攻击,和肉鸡CC攻击。代理CC攻击是黑客借助代理服务器生成指向受害主机的合法网页请求,实现DOS,和伪装就叫:cc(ChallengeCollapsar)转载 2015-07-01 13:08:17 · 616 阅读 · 0 评论 -
asp.net MVC 常见安全问题及解决方案
http://www.2cto.com/Article/201307/226467.html一.CSRF Example : 在登陆状态下进入了攻击网站向安全站点发送了请求。 Solution: 在view 中使用 @Html.AntiForgeryToken(), 在Action 上加上 [ValidateAntiForgeryT转载 2015-06-11 14:21:19 · 622 阅读 · 0 评论 -
Asp.net安全架构之1:xss(跨站脚本)
http://www.it165.net/pro/html/201205/2560.html跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此转载 2015-06-11 14:13:02 · 675 阅读 · 0 评论 -
XSS跨站测试代码大全
http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html'>alert(document.cookie)='>alert(document.cookie)alert(document.cookie)alert(vulnerable)%3Cscript%3Ealert('XSS')%3C/script%3Eal转载 2015-06-11 13:05:41 · 566 阅读 · 0 评论 -
xss攻击入门
http://www.cnblogs.com/bangerlee/archive/2013/04/06/3002142.htmlxss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。xss攻击可以分成两种转载 2015-06-11 12:49:51 · 567 阅读 · 0 评论 -
如何做一个安全的“记住我”功能
http://www.yixieshi.com/ucd/14368.html有这样一个场景——有个用户初访并登录了你的网站,然而第二天他又来了,却必须再次登录。于是就有了“记住我”这样的功能来方便用户使用,然而有一件不言自明的事情,那就是这种认证状态的”旷日持久“早已超出了用户原本所需要的使用范围。这意味着,他们可以关闭浏览器,然后再关闭电脑,下周或者下个月,乃至更久以后再回来,只要这间隔转载 2015-06-11 11:42:57 · 654 阅读 · 0 评论 -
实例:Public权限渗透某asp.net网站
http://netsecurity.51cto.com/art/201104/254307.htm【51CTO.com 独家特稿】本文知识要点:(1)使用Google搜索管理后台真实地址(2)LCX端口转发程序突破内网限制(3)Asp.net类网站的渗透思路对于数据库用户权限为Public的网站渗透相对较难,设置为这种权限,多数具有较高的安全意识,在通转载 2015-06-26 15:07:52 · 4213 阅读 · 0 评论 -
局域网查看工具LanSee使用教程【图文】
http://37rj.com/edu/25403局域网查看工具(LanSee)是一款对局域网上的各种信息进行查看的工具。LanSee采用多线程技术,可以快速搜索出局域网中的计算机(包括IP地址、MAC地址、计算机名称、工作组、用户名、操作系统)、共享资源、共享文件。集成了网络嗅探功能,可以捕获各种数据包(tcp,udp,icmp,arp),嗅探局域网上的QQ号,局域网上各主机转载 2015-06-25 12:00:03 · 8662 阅读 · 2 评论 -
使用fiddler模拟http请求
http://www.cnblogs.com/zhuqil/archive/2011/10/11/2206918.html概述 与httpwath相比,fiddler能模拟http请求、能断点调试、http分析统计吸引了我,使用之后感觉这个工具非常不错,这篇文章只单介绍一下fiddler工作原理,简单介绍一下它的重要功能,以及如何使用使用fiddler模拟http请求,满足移动服转载 2015-06-25 11:56:10 · 572 阅读 · 0 评论 -
利用 ASP.NET 的内置功能抵御 Web 攻击
http://www.51cto.com/specbook/14/3232.htm如果您正在阅读本文,可能就不需要再向您灌输 Web 应用程序中的安全性愈来愈重要这一事实了。您需要的可能是一些有关如何在 ASP.NET 应用程序中实现安全性的实际建议。坏消息是,没有任何开发平台 — 包括 ASP.NET在内 — 能够保证一旦采用了该平台,您就能够编写百分百安全的代码。谁要是这么说,一准在撒转载 2015-06-24 10:58:43 · 592 阅读 · 0 评论 -
MVC Anti-XSS方案
http://blog.csdn.net/cassaba/article/details/21094011XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。 开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在转载 2015-06-23 17:29:34 · 435 阅读 · 0 评论 -
Asp.net Mvc中利用ValidationAttribute实现xss过滤
http://www.2cto.com/kf/201404/293640.html在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网转载 2015-06-11 14:08:19 · 499 阅读 · 0 评论 -
HttpOnly介绍以及防止XSS攻击时的作用(转)
http://desert3.iteye.com/blog/869080介绍HttpOnly、讨论HttpOnly、以及HttpOnly与各语言的集成(Java,.Net,PHP) 转自:利用HTTP-only Cookie缓解XSS之痛 在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,转载 2015-06-11 11:52:22 · 726 阅读 · 0 评论 -
防御XSS的七条原则
http://www.freebuf.com/articles/web/9977.html前言本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》攻击者可以利用XSS漏洞向用户发送攻转载 2015-06-11 13:09:54 · 469 阅读 · 0 评论 -
启用全站HTTPS后不仅更安全而且更快 看淘宝是如何做到的
http://www.chinaz.com/web/2016/0303/509511.shtml电商启用全站HTTPS是一件门槛极高的事情,它需要投入巨大的资源,不仅是人力、财力等方面,而且对技术能力也提出了极为苛刻的要求。一般来说,普通电商只会在登录和交易这些“关键”环节启用HTTPS。而目前,阿里巴巴是全球唯一大规模启用电商平台全站HTTPS的公司。什么是HTT转载 2016-10-13 10:26:59 · 831 阅读 · 0 评论 -
设计安全的账号系统的正确姿势
http://blog.coderzh.com/2016/01/03/security-design/引子最近有个虚拟练习项目,涉及到系统安全保障的设计,于是对安全保障这块做了一些更深入的了解。发现了很多有趣的东西,开阔了眼界。中间查了一些资料,于是我打算重新整理,用更加循序渐进,大家都能懂的方式,说一说如何设计一个安全的系统。著名的安全事件首先来看看最近几年比转载 2016-08-08 15:26:12 · 483 阅读 · 0 评论 -
IP地址与数字地址相互转换
http://goolgeplus.lofter.com/post/8de0d_d6d0a站长网IP查询地址:http://tool.chinaz.com/ip/可以看到,IP查询工具是先将IP段地址转化成数字地址,再才得到IP的物理地址。------------------------------------------------------------------------转载 2016-07-28 13:53:05 · 3139 阅读 · 1 评论 -
网站被DDOS攻击了怎么办
http://bbs.csdn.net/topics/370252112DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一。2000年2月,Yahoo、亚马逊、CNN被攻击等事例,曾被刻在重大安全事件的历史中。SYN Flood由于转载 2015-10-19 10:55:54 · 845 阅读 · 0 评论 -
知道如何对付session劫持(session hijacking)
http://blog.sina.com.cn/s/blog_78366fde01015peu.htmlsession劫持是一种比较复杂的攻击方法。大部分互联网上的电脑多存在被攻击的危险。这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持可能。服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的s转载 2015-07-03 14:28:34 · 1720 阅读 · 0 评论 -
如何查看和分析IIS日志
http://blog.csdn.net/lastbeachhead/article/details/3520642日志的在IIS中是很重要的,但是很多人却忽略了,在这里说说,日志格式建议使用W3C扩充日志文件格式,这也是IIS 5.0默认的格式,可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理,每天要审查日志。如图1所示。转载 2015-06-15 11:40:12 · 447 阅读 · 0 评论 -
搭建网站IIS目录权限设置说明
http://www.cnblogs.com/noviceliu/archive/2013/04/08/3006653.htmlIIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。IIS 下网转载 2015-06-15 10:11:45 · 1404 阅读 · 0 评论 -
运用JS设置cookie、读取cookie、删除cookie
http://www.cnblogs.com/fishtreeyu/archive/2011/10/06/2200280.htmlJavaScript是运行在客户端的脚本,因此一般是不能够设置Session的,因为Session是运行在服务器端的。而cookie是运行在客户端的,所以可以用JS来设置cookie. 假设有这样一种情况,在某个用例流程中,由A页面跳至B页面,若转载 2015-07-03 14:13:16 · 429 阅读 · 0 评论 -
如何用IP代理更换本机上网IP地址
http://jingyan.baidu.com/article/e6c8503c1613dee54f1a1812.html本教程简单介绍一些基本使用功能,还有可以开启自动代理等功能。但是对于很对朋友来说,操作此款软件 还是有点难度,总是问很多遍,为了方便大家使用此款代理软件,特写此教程! 这次学会之后,以后自己就是“换ip专家了”,可以想怎么添加ip,想添加多少,就添加多少转载 2015-06-14 13:51:52 · 1621 阅读 · 0 评论 -
MVC Anti-XSS方案
http://blog.csdn.net/cassaba/article/details/21094011XSS攻击是用户提交到服务器的数据包含恶意JavaScript脚本,如果这种数据在存储或显示的时候不加处理,那么其它用户访问页面的时候,这些脚本可能被执行,轻则导致页面无法正常使用,重则导致重要信息泄露。 开发Web应用程序,需要从全局考虑这个问题,采取一致的处理方式,在转载 2015-06-11 14:10:40 · 496 阅读 · 0 评论 -
Asp.net Mvc中利用ValidationAttribute实现xss过滤
http://www.cnblogs.com/onepiece_wang/p/3669728.html在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这转载 2015-06-23 18:04:09 · 1001 阅读 · 0 评论 -
IHttpHandler详细介绍
http://blog.csdn.net/liu_111111/article/details/8439835很多Asp.Net开发人员都有过Asp的背景,以至于我们在开发程序的时候,通常都是在“页面级”上思考,也就是说我们现在正在做的这个页面应该有什么样的功能,是进行一个问卷调查还是一个数据库查询等等。而很少在“请求级”思考,考虑有没有办法来通过编码的方式来操控一个Http请求。转载 2015-06-18 14:01:19 · 545 阅读 · 0 评论 -
如何设计相对安全的cookie自动登录系统
http://www.myhack58.com/Article/html/3/68/2013/39914.htm很多网站登录的时候,都会有一个“记住我”功能,用户可以在限定时间段内免登录,比如豆瓣、人人、新浪微博等都有这种设计。这种技术其实就是基于cookie的自动登录,用户登录的时候会把需要验证的token写到cookie里面,当用户session失效的时候,token会通过cook转载 2014-02-28 18:00:44 · 664 阅读 · 0 评论 -
利用HTTP-only Cookie缓解XSS之痛
http://netsecurity.51cto.com/art/200902/111143.htm在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-on转载 2014-02-28 18:25:05 · 534 阅读 · 0 评论 -
SQL注入漏洞全接触--高级篇
http://blog.csdn.net/wufeng4552/article/details/3449883看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数转载 2013-09-16 21:27:26 · 530 阅读 · 0 评论 -
SQL注入漏洞全接触--进阶篇
http://blog.csdn.net/wufeng4552/article/details/3449870第一节、SQL注入的一般步骤首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Sel转载 2013-09-16 21:26:47 · 565 阅读 · 0 评论 -
SQL注入漏洞全接触--入门篇
http://blog.csdn.net/wufeng4552/article/details/3449834随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的转载 2013-09-16 21:26:52 · 655 阅读 · 0 评论 -
白话数字签名(番外篇)——签名EXE文件(上)
http://www.cnblogs.com/1-2-3/archive/2007/11/27/colloquialism-digital-certificate-part4.html摘要人家微软的软件都有数字签名,感觉好酷哦,我们写的软件也要弄个签名炫一炫。带有签名的软件非常酷在QQ的安装文件上右击,选“属性”,就可以看到QQ的数字签名了。使用Proces转载 2013-05-25 21:10:38 · 615 阅读 · 0 评论 -
白话数字签名(3)——Web程序中的数字签名
http://www.cnblogs.com/1-2-3/archive/2007/10/08/colloquialism-digital-certificate-part3.html摘要阅读本文并探索 - 如何突破Web程序无状态性这个让人抓狂的障碍实现自动显示签名结果和批量签名功能。 - 如何将签名功能封装到一个实现了IHttpHandler接口的类库中转载 2013-05-25 20:58:59 · 779 阅读 · 0 评论 -
白话数字签名(2)——软件&设备
http://www.cnblogs.com/1-2-3/archive/2007/09/19/colloquialism-digital-certificate-part2.html然而它太慢了非对称加密算法有一个重大缺点——加密速度慢,或者说得更拽一些,编码率比较低。例如在上一篇里我给Clark传的那个1GB的小电影,进行非对称加密足足用了66小时。那个借条小一些吧,也用了将近转载 2013-05-25 20:57:43 · 659 阅读 · 0 评论 -
白话数字签名(1)——基本原理(新!)
http://www.cnblogs.com/1-2-3/archive/2007/09/17/colloquialism-digital-certificate-part1.html摘要本系列通过通俗易懂的讲解,让您就像读小说一般,轻轻松松就能理解数字签名的基本原理和应用方法(即使您是一个并不精通计算机的企业老总,也能读懂本篇文章)。然后我们再逐步深入技术细节,最后将给出一个在B转载 2013-05-25 20:56:47 · 623 阅读 · 0 评论 -
白话数字签名(番外篇)——签名EXE文件(下)
http://www.cnblogs.com/1-2-3/archive/2007/12/03/colloquialism-digital-certificate-part5.html摘要如果我们在IEXPLORE.EXE上面右击,再点击“属性”,可以看到并没有显示数字签名页,但是在Process Explorer中却可以成功验证签名,这是怎么回事呢?签名EXE文件的两种方转载 2013-05-25 21:11:45 · 627 阅读 · 0 评论 -
京东SSO单点登陆实现分析
http://blog.chinaunix.net/uid-25508399-id-3431705.html京东的sso流程:初始访问状态:cookies:http请求:1.在首页点击登陆,跳转至passport.360buy.com,给予验证cookie alc(可以试试在提交登陆信息前删除该cookie)cookieshttp转载 2013-05-03 14:32:43 · 1400 阅读 · 0 评论 -
HTTPS应用摘要
http://blog.csdn.net/webwalker/article/details/5658155在众多大型网站中HTTPS的应用越来越多,尤其是对安全有严格要求的网站,近乎普及。虽说应用HTTPS之后,站点性能稍有影响,但综合评估下来并无大碍、近可忽略,以下本文通过摘要方式汇总HTTPS在项目中的实践应用(服务端、Windows + IIS)。 HTTPS:Hy转载 2014-08-19 17:21:45 · 1044 阅读 · 0 评论 -
https性能调优[译]
这是一篇译文,原文:http://blog.httpwatch.com/2009/01/15/https-performance-tuning/在网络性能优化中一个经常被忽略的问题是保障安全连接的https协议.随着应用从桌面转移到web,广泛被应用的https协议中安全和隐私的可靠性越来越重要.下面的例子展示使用https过程中常见的问题.例1:使用有效的响应每当浏览器访问一转载 2014-08-19 17:29:13 · 460 阅读 · 0 评论