网站安全-安全策略

最新推荐文章于 2024-07-10 10:54:49 发布
最新推荐文章于 2024-07-10 10:54:49 发布
阅读量1.6k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41868328/article/details/80492742
版权
网站安全,对于网站相关开发人员来说是个老生常谈的问题,网站开发的历史,在国内大约有二十年了,所以各方面的资料都比较丰富。以下内容有部分从网络整理而来,部分是自己的体会。 

主要参考《白帽子讲web安全》

一,

开发者必须要有基本的网站安全开发常识,比如0day、sql-injection、XSS、CSRF、恶意上传(脚本语言的网站尤其要注意)等,这些资料网上有很多,可以自行搜索。安全相关的文档可以考虑标准化,以便传阅和逐渐完善。网络安全是一个体系建设,配备了基础的安全手段之后,就是慢慢去完善。 
一下列表一些最基本的应对方法:

  1. 对于用户的敏感信息需要加密保存(salt-hash),如密码、手机、银行卡信息等,以防被拖库之后拿去撞库,或者被公司内部人员不当利用。这个操作属于风险管理,可以合理止损。
  2. 对于用户输入,必须先过滤后使用(参考),如果实在有富文本需求,在前端要做保护措施(例如使用vuejs等前段框架后期渲染,避免从服务端直接渲染出页面),防止被投放持久化XSS攻击。cookie端要启动httponly功能,就可以避免被js访问到。
  3. 表单管理,表单尽量添加token,既可以防止重复提交,也可以防止CSRF攻击参考
  4. 对于系统管理员等一些重要角色用户,尽可能绑定IP登录或IP白名单登录,这样可以避免漏洞被第三方捕捉到之后实施的恶意操作
  5. 该混淆代码的还是要混淆的,该签名还是要签名的
  6. https https https
weixin_41868328
关注
.NET网站安全策略
09-20
.NET网站安全策略
Go-cspparse是一种评估内容安全策略的工具
08-13
Go-cspparse是一款专为评估内容安全策略(Content Security Policy,简称CSP)而设计的工具。在网络安全领域,CSP是用于防止跨站脚本攻击(XSS)和其他注入攻击的一种机制,它允许网站管理员指定浏览器应该加载哪些...
网站安全策略
天道酬勤
08-25 251
1.禁止保存网页     有些网站不希望用户通过浏览器的另存为网页的功能来保存网页,可通过<iframe>标签来禁止.方法如下: <iframe src = "不存在的页面" width = "0" height = "0"></iframe> 2.禁止复制网页内容     <body onselectstart = "retur
防火墙安全策略(基本配置)
最新发布
2301_78439235的博客
07-10 3488
此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。firewall zone name命令用来创建安全区域,并进入安全区域视图。id表示安全区域ID,取值4~99,默认递增。安全区域在使用时需要与防火墙的特定接口相关联,即需要将接口加入到安全区域。和交换机、路由器相同,interface命令用来创建接口或进入指定的接口视图。
网站安全策略
qq_43444473的博客
10-31 292
网站的组成,基本上可以划分为三部分,server端、机房switch/router、用户clients,一个网站安全策略,应该覆盖这三部分,每部分都有明确的规则,才可以打造一个相对比较安全网站。毕竟,网站安全有木桶效应,一个部分被hack,这个网站就是一个不安全网站。 一、Server端 网站安全最重要的部分是对server端进行管控。 1、开发团队必须要有基本的网站安全开发常识,比如0d...
网站安全防护方案
m0_70655343的博客
05-24 310
一、导语   网站一直是黑客最喜欢入侵的目标,能产生不错的收益,入侵方法也不复杂。大量入侵工具的出现,让小学生也能轻松入侵网站。   而几乎所有企业网站都存在安全漏洞。因为都是外包给建站公司开发,建站公司只注重功能和时间,不会在安全方面多加考虑。   下面我们讲述一下网站安全中的常见漏洞和应对方法,当然最好的解决办法还是修复程序。   二、SQL注入   SQL注入是利用程序不严谨,传递一些特殊SQL命令,读取或篡改数据库。通过此种手段,黑客可以取得网站后台权限,再实施新的入侵。   下面我们演
网站安全策略.docx
10-03
网站安全策略是保护在线资源免受恶意攻击和数据泄露的关键环节。本文主要针对基于IIS构建的Web服务器和FTP服务,介绍了系统安装、系统配置、IIS安全策略以及审核日志策略的应用,确保Web服务器的安全运行。 首先,...
网络信息安全及防护策略探究-信息安全-计算机.pdf
11-11
此外,不要轻易点击来源不明的链接,不下载不信任的软件,不在不安全网站上输入重要的个人信息,如银行卡号、密码等。同时,定期更改密码,使用复杂且不易被猜出的组合,可以有效增强账户的安全性。 (四)采用...
security-txt:一种提议的标准,允许网站定义安全策略
02-05
**security-txt:定义网站安全策略的新标准** 在互联网安全领域,保护用户数据和维护网站安全性至关重要。近年来,为了增强网络安全,业界一直在寻找创新的方法来规范和透明化网站安全策略。"security-txt"就是...
Windows Server 2008 R2通过IP安全策略阻止某个IP访问的设置方法
09-30
在Windows Server 2008 R2操作系统中,管理员可以通过IP安全策略来限制特定IP地址对服务器的访问,以增强网络安全。以下是如何设置这一策略的详细步骤: 首先,你需要打开本地安全策略。在“开始”菜单中输入...
网站安全性问题 (在工作中,发现了网站安全性的重要 )
08-11
网站安全性问题 (在工作中,知道了网站安全性的重要 ),网站管理重要的是网站安全,用户使用的方便。 大家方便的话,可以去访问我管理的企业人才网:http://www.ycw001.com/main
WEB开发安全与防御策略
01-13
对web开发的安全细节概述,包括安全开发概论,验证机制,会话机制,代码注入,路径遍历等等
网站安全方案
keyboard专栏
04-23 860
在网络安全策略中,应用层安全是保护网站、Web应用和API免受攻击的关键组成部分。应用层面临的威胁包括跨站脚本(XSS)、SQL注入、会话劫持、身份验证攻击等。
web项目安全策略
lcdsda的专栏
09-30 1131
今天老大指导了一下我,对于自己的项目要做好安全措施。 网络安全的攻防其实是个博弈问题,不存在完全破解不了的安全措施,只是这个安全措施的破解难度有多大,被破解的价值有多大。   从项目的角度: 1、防注入。不管是从登录界面,项目具体界面的文本框等,凡是存在有可以注入的地方,
网站安全性问题有哪些?
互零网络科技有限公司
08-26 1213
我相信很多人已经意识到网站对企业的重要性, 很多人通过网站获得很多好处。 同时,我相信许多人对网站保持冷漠的态度。 我今天要说的是,如果您准备制作网站,请务必了解网站行业中的一些棘手问题。 对人来说最重要的是什么? 健康! 那么,什么对网站最重要? 安全! 不管网站是否做得好,安全都是最重要的。 不安全网站不仅不能提高效果,反而会给企业造成很多不必要的麻烦。 对于公司而言,我要谈论的网站安全主要包括两点: 一,网站程序应该是安全的 每个人都会或多或少地知道,我们经常遇到一些被攻击的网站,正式的公
登录安全问题策略
A446818000的专栏
04-22 348
用户登录界面 [img]http://dl.iteye.com/upload/attachment/468529/3956da13-7286-3ad4-b50e-43592d1909a5.gif[/img] 客户感觉每次都要输入验证码不爽,那么你会怎么做? 三次输入错误,24小时内都要验证码 我知道的三种解决方法: cookie session 数据库表记录 三种存...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值