数据安全
lzpsnake
互联网行业从业人士,PHP程序员。喜欢研究各种编程技术和网站运营。目前任职于国内知名电子商务软件供应商ShopNC。
展开
-
XSS攻击详解
XSS:cross site script 跨站脚本,为什么不叫css,为了不和div+css混淆。4.1Xss攻击过程:(1)发现A站有xss漏洞。(2)注入xss漏洞代码。可以js代码,木马,脚本文件等等,这里假如A站的benwin.php这个文件有漏洞。(3)通过一些方法欺骗A站相关人员运行benwin.php,其中利用相关人员一些会员信息如cookies,权转载 2012-12-22 15:12:05 · 606 阅读 · 0 评论 -
服务器防入侵加固的几种做法
无论是对技术的喜好,还是金钱诱惑,或者是政治利益驱使,黑客们主打的入侵与攻击技术的发展速度都明显在加快。安全厂家好像也很努力,但总是在自己的销售利益上走来走去,从最初的老三样(防火墙FW、入侵检测IDS、防病毒AV),到现在的统一安全网关(UTM)、漏洞扫描、行为审计、身份认证、传输加密(VPN)、Web应用防火墙(WAF)、虚拟浏览器…安全产品琳琅满目,却忽视了服务器本身的加固,因为要保护的数据转载 2012-12-22 15:18:28 · 411 阅读 · 0 评论 -
严格的数据验证,你的用户不全是“好”人
记得笔者和一个朋友在讨论数据验证的时候,他说了一句话:你不要把你用户个个都想得那么坏!但笔者想说的这个问题不该出现在我们开发情景中,我们要做的是严格验证控制数据流,哪怕10000万用户中有一个是坏用户也足以致命,再说好的用户也有时在数据input框无意输入中文的时,他已经不经意变“坏”了。 2.1为了确保程序的安全性,健壮性,数据验证应该包括(1) 关键数据是否存在。如转载 2012-12-22 15:08:34 · 372 阅读 · 1 评论 -
网站安全检查列表
不管是做什么网站,安全是首先要考虑的,而且应该是非常重视网站的安全。以前我自己鼓捣东西的时候,老是想着能把这个项目做出来就行了。可是现在想想是一个非常大的错误,对于一个非常脆弱的系统,对于一个容不得一点错误的系统,是完全没必要做出来的,做出来能有什么用。一个网站首先应该宽容用户无意间产生的失误(或者说是错误),再有就是能够防止用户的恶意攻击,还有就是做好系统地错误处理,防止暴漏不必要的信息,再就是转载 2012-12-22 15:50:17 · 446 阅读 · 0 评论 -
php一些安全配置
1、php一些安全配置(1)关闭php提示错误功能在php.ini 中把display_errors改成display_errors = OFF 或在php文件前加入error_reporting(0) 1)使用error_reporting(0);失败的例子:A文件代码:error_reporting(0转载 2012-12-22 14:58:15 · 263 阅读 · 0 评论 -
Mysql基本安全设置
1.设置或修改Mysql root密码:默认安装后空密码,以mysqladmin命令设置密码: mysqladmin -uroot password "password" Mysql命令设置密码: mysql> set password for root@localhost=password('password); 更改密码:转载 2012-12-22 14:53:05 · 243 阅读 · 0 评论 -
php过滤提交数据,防止sql注入攻击
规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。 例如,下面的数据元转载 2012-12-22 14:50:04 · 1151 阅读 · 0 评论 -
防SQL注入攻击详解
3.1简单判断是否有注入漏洞以及原理。网址:http:www.phpben.com/benwin.php?id=1 运行正常,sql语句如:select * from phpben where id = 1(1) 网址:http:www.phpben.com/ benwin.php?id=1’ sql语句如:select * from phpben where id =转载 2012-12-22 15:08:58 · 312 阅读 · 0 评论 -
Web攻防系列教程之企业网站攻防实战
本文通过搭建一个真实的企业网站环境,先以攻击者的角度对目标网站进行入侵,最终得到目标网站数据库中的数据。然后对整个入侵过程进行详细分析,并修复目标网站存在的安全漏洞和弱点。这样通过对一个实例的完整分析,让读者对攻击者入侵网站的过程、以及网站安全加固都有一个直观的认识,当遭到黑客入侵时,不再感到无从下手。随着B/S架构技术的高速发展和快速应用,现在几乎所有的企业、政府单位都拥有了自己的网站。转载 2012-12-24 09:52:14 · 264 阅读 · 0 评论 -
php漏洞与代码审计
在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。1.xss + sql注入 其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数,可由如下所示:$_REQUEST = filter_xss($_R转载 2012-12-22 15:23:37 · 212 阅读 · 0 评论