web安全

最新推荐文章于 2024-07-23 14:51:35 发布
最新推荐文章于 2024-07-23 14:51:35 发布
阅读量186 收藏 1
点赞数
分类专栏: 最佳开发实践 文章标签: web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NetFishTail/article/details/84007821
版权

Web部署要求
规则3.1.1:如果 Web 应用对 Internet 开放,Web服务器应当置于DMZ区,在Web服务器与Internet之间,Web服务器与内网之间应当有防火墙隔离,并设置合理的策略。
规则3.1.2:如果 Web 应用对 Internet 开放,Web服务器应该部署在其专用的服务器上,应避免将数据库服务器或其他核心应用与Web服务器部署在同一台主机上。
说明:Web服务器比较容易被攻击,如果数据库或核心应用与Web服务器部署在同一台主机,一旦Web服务器被攻陷,那么数据库和核心应用也就被攻击者掌控了。
规则3.1.4:Web站点的根目录必须安装在非系统卷中。
说明:Web站点根目录安装在非系统卷,如单独创建一个目录/home/Web作为Web站点根目录,能够防止攻击者使用目录遍历攻击访问系统工具和可执行文件。
建议3.1.2:如果Web应用系统存在不同的访问等级(如个人帐号使用、客户服务、管理),那么应该通过不同的Web服务器来处理来自不同访问等级的请求,而且Web应用应该鉴别请求是否来自正确的Web服务器。
说明:这样便于通过防火墙的访问控制策略和Web应用来控制不同访问等级的访问,比如通过防火墙策略控制,只允许内网访问管理Portal。
建议3.1.3:对于“客户服务”和“管理”类的访问,除了普通的认证,还应该增加额外的访问限制。
说明:额外的访问限制,可以限制请求来自企业内网,可以建立VPN,或采用双向认证的SSL;或采用更简单的办法,通过IP地址白名单对客户端的IP地址进行过滤判断..

NetFishTail
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--2--web安全原则(上)
武天旭的博客
09-10 1万+
web安全原则 安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐藏的。 安全性设计中的关键问题是挖掘出系统存在的安全漏洞。在这我们可以采用黑盒测试或者安全检测工具来进行。在开发过程中,遵守一些web安全原则,是提高安全很好的措施: 一、Web部署原则 1、如果Web应用对Internet开放,Web服务器应...
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
什么是DMZ区域,DMZ区域的作用与原理
热门推荐
Horace Ho的博客
06-28 2万+
DMZ区、网络非军事区
web安全/渗透测试--1--web安全原则
diaojin6880的博客
09-17 860
web 安全: https://blog.csdn.net/wutianxu123/article/category/8037453/2 web安全原则 安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐藏的。 安全性设计中的关键问题是挖掘出系统存在的安全漏洞...
web站点根目录_通过将其放在Web根上方来保护站点文件
cungui5726的博客
08-22 423
web站点根目录The most common method of restricting access to files on a web server is with an .htaccess file. While this obviously works, it is somewhat fragile: the entire protective strength of the techn...
web与internet的关系
骑着毛驴的小猴子
08-22 7522
一、Internet简介 全球性的计算互联网络(因特网)  “信息共享”Internet提供的主要服务: Telnet ---远程登录 email  、 www 、 BBS (电子公告板《论坛、百度贴吧等》)、FTP 基本实现技术 分组交换原理 -- 信息在Internet上被分成许多小数据包进行传输,到达目的地后将数据包重组为信息TCP/IP协议族 二、web
Web安全基本概念
weixin_43994244的博客
03-04 7237
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
web安全爆破字典bp.txt
10-28
web安全-抓包字典
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
WEB安全入门基础.pptx
08-24
WEB 安全入门基础 本资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 WEB 安全入门基础 WEB 安全入门基础主要包括 WEB ...
Web 开发学习笔记——关于互联网和互联网应用
weixin_33922670的博客
04-05 134
作为一名前端开发者,了解互联网和浏览器的相关知识是极其有必要的,因为我们所有开发出来的网站全部以互联网和浏览器为基础的。 关于互联网 互联网到底是什么?对于网站普通用户来说,它可能就是宽带、购物网站、娱乐媒介以及信息检索工具,那么互联网最早诞生于什么时间呢,或者受它的由来是怎样的呢?我们知道20世纪90年代,我国开始进入互联网时代,诸如百度、新浪等最早的一批互联网企业大都在这个时候出现,但是互联网...
“微软蓝屏”事件暴露了网络安全哪些问题?
weixin_62595121的博客
07-22 1753
这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。中国国际问题研究院助理研究员 谢卉:私营部门在技术发展和创新上处于前沿,拥有很大的主导权,但是他们现在和公共利益的联系也越来越紧密,因此要加强对私营部门的监管,让他们投资建设更为可靠的网络基础设施,减少由单点故障带来的风险。报道称,英国多家药店的支付功能也一度出现问题。
【网络安全科普】勒索病毒 防护指南
a38417的博客
07-20 1259
常规的杀毒软件查找病毒的原理一般是对当前计算机上的文件进行特征的检测,检测完成后和现有的病毒库中的特征数据进行匹配,如果可以匹配成功则找到病毒文件,因此现有的勒索病毒对我们常用的常规杀毒软件是一个很大的挑战。一旦勒索病毒感染了计算机,它会立即开始加密用户的文件,包括文档、图片、视频等,并在屏幕上显示要求用户支付赎金的消息。从操作系统来看被植入病毒的主要是Windows XP、Windows 7,原因是目前这些系统中有一部分微软官方已经不再支持更新、以及补丁的维护,一般会存在较多的无法及时修复的漏洞。
网络安全等级保护制度1.0与2.0的演进与变革
gmqqcsdn的博客
07-23 570
等保1.0是我国在网络安全领域迈出的重要一步,它于2008年正式发布。该版本的等保制度以《信息安全技术 信息系统安全等级保护基本要求》为核心标准,主要聚焦于信息系统的物理安全、网络安全、主机安全、应用安全和数据安全等方面的基础防护。等保1.0的实施对于提高我国信息系统的安全防护水平起到了积极的推动作用,但随着网络环境的快速变化和新型威胁的不断出现,等保1.0的局限性也逐渐显现。
2022 年中高职组“网络安全”赛项-海南省省竞赛任务书-1-B模块-B-4Web渗透测试
最新发布
轻舟已过万重山
07-23 161
通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020 进行渗透测试,通过本地 PC 中渗透测试平台 Kali 对服务器场景 PYsystem2020进行渗透测试,这里因为我们的Web服务器MySQL数据库版本原因,所以我换了台Web服务器,进行测试。将该场景中数据库的版本号作为 FLAG(例如:5.0.22)提交。换的这台Linux的服务器的IP为192。需要提交的flag:【
网络安全----web安全防范
weixin_55357256的博客
07-16 744
以下代码用来防范流行的DDoS攻击,ARP欺骗,CC攻击,XXS攻击,对输入的恶意代码进行过滤,嵌入到web程序可以很好的防范网络攻击,但如果想要更好的防范网络攻击,还需要更加复杂的配置和更硬核的硬件。print(f"可能的 CC 攻击针对资源 {resource} 检测到")# 用于检测 CC 攻击的函数(简单示例,通过监测短时间内对同一资源的请求频率)# 用于检测 XSS 攻击的函数(简单示例,检查输入中是否存在可疑脚本标签)# 用于检测 DDoS 攻击的函数(简单示例,通过监测短时间内的连接数量)
白帽子讲Web安全:掌握Web安全的方方面面
白帽子讲Web安全 本书《白帽子讲Web安全》是一本关于Web安全的详细指南,作者吴翰清根据多年的实际工作经验编写而成。书中详细介绍了Web安全的方方面面,包括攻击技术、安全解决方案、错误解决方案、安全开发流程和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值