安全实例总结

最新推荐文章于 2022-04-21 07:54:20 发布
最新推荐文章于 2022-04-21 07:54:20 发布
阅读量5k 收藏
点赞数
分类专栏: 编程安全 文章标签: php 编程安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21386275/article/details/83351010
版权

说明:本文主要是平常工作中遇到的一些安全性问题总结,会持续更新。

  1. 关闭PHP版本信息在http头中的泄漏
    PHP隐藏server
    修改 php.ini 文件 设置 expose_php = Off
    apache 隐藏 server
    修改httpd.conf 设置 ServerSignature Off ServerTokens Prod
    nginx 隐藏 server
    修改nginx.conf 在http里面设置 server_tokens off;
  2. web应用表单密码类型输入启用了自动完成操作
    在type="password"的input框中加入autocomplete="off"属性
  3. X-Frame-Options未配置
    X-Frame-Options 有三个值:
    ①DENY
    表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。
    ②SAMEORIGIN
    表示该页面可以在相同域名页面的 frame 中展示。
    ③ALLOW-FROM uri
    表示该页面可以在指定来源的 frame 中展示。
    nginx配置
    添加add_header X-Frame-Options SAMEORIGIN;
    在这里插入图片描述
    Apache配置:
    apache可配置http.conf如下:
 <IfModule headers_module>
    Header always append X-Frame-Options "DENY"
 </IfModule>
  1. 检测到会话cookie中缺少HttpOnly属性
    将php.ini配置修改成session.cookie_httponly = 1,这主要是为了防止攻击者通过程序(JS脚本、Applet等)获取到用户的cookie信息
  2. crossdomain.xml解决跨域问题
    示例:
<?xml version="1.0"?>
<cross-domain-policy>
	<allow-access-from domain="*.luoyang.changyan.cn" />
	<allow-http-request-headers-from domain="*.luoyang.changyan.cn" headers="*"/>
</cross-domain-policy>

6.XSS反射型和存储型
①tp框架尽量用I方法获取传入参数,富文本框除外,因为可能需要过滤,所以需要没有经过任何处理过的参数。
②输出时,可以使用htmlspecialchars,eg:{$test|htmlspecialchars=###,ENT_QUOTES}
③使用过滤函数,或者使用白名单方式,或者360提供的php类
eg:

/**
 1. t函数用于过滤标签,输出没有html的干净的文本
 2. @param string text 文本内容
 3. @return string 处理后内容
 */
function t($text){
    $text = str_replace(array("\""," "), array('',''),$text);
    $text = nl2br($text);
    $text = real_strip_tags($text);
    $text = addslashes($text);
    $text = trim($text);
    $text = htmlspecialchars($text);
    return $text;
}
  1. SQL注入
    ①参数只可能为整型时 将参数转换为整型
    ②参数过滤
    eg:
//防sql注入
function post_check($post) {
    // 判断magic_quotes_gpc是否为打开
    if (!get_magic_quotes_gpc()) {
        $post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
    }
    $post = str_replace("_", "\_", $post); // 把 '_'过滤掉
    $post = str_replace("%", "\%", $post); // 把' % '过滤掉
    $post = nl2br($post); // 回车转换
    $post= htmlspecialchars($post); // html标记转换
    $post = mysql_real_escape_string($post);
    return $post;
}

③PDO,从根本上解决sql注入问题

笨小孩丶
关注
专栏目录
2021注册安全工程师安全案例分析答题技巧+管理+法律总结.doc
04-25
【注册安全工程师安全...通过以上分析,考生可以系统地掌握安全案例分析的答题技巧,提高案例分析的准确性和完整性,从而在考试中取得理想成绩。同时,日常工作中也需要不断积累实践经验,以应对各种复杂的安全问题。
Apache安全配置总结
05-06
Apache安全配置总结,里面包含了APACHE的各种配置方法。尽请参考。
web安全总结
刘志龙的专栏/技术博客
05-04 782
最近被公司强迫本鸟研究安全,没办法,看了一个月的资料,mark总结下。安全问题 解决方案 推荐工具 xss跨站脚本攻击 1.给关键cookie加上httponly属性,js将无法访问 2.对html标签、css标签、url地址等处用户输入定的关键字符 &amp;,&lt;,&gt; ,",'等进行encode 1.httponly 2.owasp esapi csrf跨站请求伪...
网络与安全-总结归纳
iamsongyu的博客
10-29 664
这次是想梳理梳理网络与安全中的一些基本概念和涉及的东西,不得不说这是一个非常大的框架,涉及的东西是在是太多,一方面是自己查缺补漏一下,另一方面是清晰一下脉络。为了不显得那么杂乱,简单将其分为三个小部分:网络通信,网络资源与网络安全。(该篇文章不会描述具体的内容,仅是归纳一下已知的关键的点,因为是临时整理所以还有很多没想到的,随时会补充) 网络通信 网络通信是网络中最基本的数据传输,两个网...
2017年内容安全十大事件盘点
weixin_30415113的博客
01-08 239
本文由 网易云 发布。 2017年是内容大爆发年,以直播、短视频为代表的娱乐视听产品涌现,泛文娱产品交互形式更加丰富、UGC信息海量增长,但随之而来的是有害信息隐患对用户体验和企业利益带来的巨大挑战。 另一方面,2017年多项互联网内容治理政策相继出台,《网络安全法》正式实施,互联网内容安全在政策和法律监管上表现进一步收紧,对内容平台不良治理能力的要求更加严格。值此年末,网易云...
安全事件集锦(1)
manok的专栏
04-21 875
国内外每年都会出现安全漏洞导致的严重的安全问题的报道,有些造成重大经济损失,有些造成信息泄漏。 1、斯诺登棱镜计划 泄露的文件中描述PRISM[prɪzəm]计划,能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户,或是任何与国外人士通信的美国公民。美国国家安全局在PRISM计划中可以获得的数据电子邮件、视频和语音交谈、影片、照片、VI...
【案例讨论】灾难与拯救 数据安全精彩案例大讨论!欢迎大家踊跃参与!
congnangwu6519的博客
08-03 279
本期活动特邀几位社区版主,oracle数据库专家与大家共同交流探讨:eygle—中国地区Oracle ACE总监,也是中国地区首位Oracle ACE,云和恩墨创始人,ITPUB论坛超级版主secooler—Oracle ACE...
注册安全工程师安全生产事故案例分析总结.docx
11-09
综上所述,注册安全工程师需要掌握全面的安全生产知识,包括危险化学品的分类管理、重大危险源的识别、安全措施的制定与执行,以及事故的应急响应和调查分析。这些知识对于预防和应对安全生产事故至关重要,确保工作...
实验室安全事故案例分析以及安全须知.ppt
01-25
通过对一系列实验室安全事故案例的分析,我们可以总结出多个重要的安全知识点。 首先,易燃易爆化学品的管理和使用需格外谨慎。例如,2018年XX大学的实验室爆炸事故,就是由于大量易燃化学品堆积,缺乏妥善管理,...
电子商务安全案例分析及总结.pdf
11-28
电子商务安全案例分析及总结.pdf
一级消防师《案例分析》总结-消防安全.docx
11-25
一级消防师《案例分析》是针对消防安全领域的重要学习材料,主要涵盖了企业在消防安全管理中的关键环节。以下是这份总结中涉及的主要知识点: 1. 消防安全宣传教育与培训:这是确保企业员工具备基本消防知识和自救...
输入自动完成类
johncools的博客
12-21 885
V0.1(2006-11-10) 纯JS,无须再加CSS 支持键盘鼠标 仅IE6+V0.2(2006-11-16) 修复了多个控件的下拉不隐藏的BUG 修改下拉背景的透明问题  HTML> HEAD>  TITLE>AutoCompleteTITLE>  META NAME="Generator" CONTEN
获取应用服务器信息出错,第三方安全扫描报告问题处理汇总
weixin_42512613的博客
08-05 1107
IIS短文件名泄露漏洞(高危)该漏洞属于OS的IIS7.5以下版本都存在,需要安装微软的专项补丁:1、修改注册列表(可在开始中运行cmd命令,输入regedit,按回车)HKLM¥SYSTEM¥CurrentControlSet¥Control¥FileSystem¥NtfsDisable8dot3NameCreation的值为1,再重启服务器。(此修改只能禁止NTFS8.3格式文件名创建,已经存...
web安全 应用表单密码类型输入启用了自动完成操作
金溪的博客
09-13 6390
描述: 在web应用form表单中,如果input标签没有指定“autocomplete”属性为“off”,则“autocomplete”的属性会自动默认为on。当web应用form表单中的密码类型为input标签,autocomplete属性为on时,用户若提交了一个新的用户名和密码时,浏览器将会询问是否保存该用永久名和密码信息,如果用户选择保存,则之后在显示该web表单时,用户名和密码将会自...
Apache安全配置
swordheart的博客
04-21 3900
0x00 测试环境 centos6.5+apache2.2.15+php5.3.3 0x01 php的运行模式介绍 php的运行模式分四种: 1 2 3 4 5 <code>1. CGI通用网关接口 2. fast-cgi常驻型的CGI 3. cli命令行运行 4. web模块模式 </code> 一般情况下,apache使用web模块模式运行php 0x02 Apac
表单自动完成
liaojs66的博客
07-19 576
1、需引入  jquery-ui-1.12.1.js,jquery-ui-1.12.1.css 2、         var cache = {};         var option = {                 source: function( request, response ) {                     var key = request
Apache 处理 X-Frame-Option
ying890的专栏
10-01 1411
一、在apache安装         D:\Program Files (x86)\Apache Software Foundation\Apache2.2\conf         httpd.conf          LoadModule headers_module modules/mod_headers.so  取消注释                     Head
apache漏洞修复
weixin_33857230的博客
09-01 463
1.SSL/TLS存在Bar Mitzvah Attack漏洞由于apache服务器未安装SSL模块,所以需要在不重新编译apahe的情况下安装mod_ssl模块。1.0 安装apxs,yum install httpd_devel;1.1 进入apache源码目录,进入module文件夹下的ssl目录;1.2 找到oepnssl 的include路径;1.3 运行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值