web渗透--2--web安全原则(上)

已于 2023-07-16 15:58:57 修改
阅读量1.5w 收藏 29
点赞数 19
分类专栏: web渗透 文章标签: web安全 渗透测试 OWASP安全测试
于 2018-09-10 22:25:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/82597337
版权

web安全原则

安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐藏的。

安全性设计中的关键问题是挖掘出系统存在的安全漏洞。在这我们可以采用黑盒测试或者安全检测工具来进行。在开发过程中,遵守一些web安全原则,是提高安全很好的措施:

一、Web部署原则

1、如果Web应用对Internet开放,Web服务器应当置于DMZ区,在Web服务器与Internet之间,Web服务器与内网之间应当有防火墙隔离,并设置合理的策略。

2、如果Web应用对Internet开放,Web服务器应该部署在其专用的服务器上,应避免将数据库服务器或其他核心应用与Web服务器部署在同一台主机上(Web服务器比较容易被攻击,如果数据库或核心应用与Web服务器部署在同一台主机,一旦Web服务器被攻陷,那么数据库和核心应用也就被攻击者掌控了)。

3、如果Web应用系统存在不同的访问等级(如个人帐号使用、客户服务、管理),那么应该通过不同的Web服务器来处理来自不同访问等级的请求,而且Web应用应该鉴别请求是否来自正确的Web服务器(这样便于通过防火墙的访问控制策略和Web应用来控制不同访问等级的访问,比如通过防火墙策略控

了解本专栏 订阅专栏 解锁全文 超级会员免费看
武天旭
关注
专栏目录
订阅专栏
ZIP和RAR口令恢复工具+注册机
09-08
Advanced Archive Password Recovery (ARCHPR) 是一个 灵活的,适用于 ZIP 和 RAR 档案的高度优化的口令恢复工具。 它可以恢复保护口令或将用所有流行的档案版本创建的加密 ZIP 和 RAR 档案解除锁定。
windows通过命令行解压zip文件,提示xx.zip 不是 RAR 压缩文件,没有文件可解压
一颗开花的术
10-26 5053
使用UnRAR.exe解压zip文件不能成功,UnRAR.exe只能解压rar格式的压缩文件 使用WinRAR.exe 可成功解压zip文件 命令如下(将ccss.zip文件解压到 D:\bbb\test文件目录下): “C:\Program Files (x86)\WinRAR\WinRAR.exe” x D:\aaa\data\ccss.zip D:\bbb\test ...
一次完整的渗透测试(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
08-05 673
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。因此,我们着重围绕这些方面进行渗透。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Bugku-Misc合集
似水流年
08-28 1628
#Misc – Bugku(合集)# ##链接## ###签到### 扫描二维码关注公众号 即可获得flag flag{Bugku-Sec-pwn!} ###这是一张单纯的图片### 链接 将文件1.jpg放入Winhex 在文件尾部看到一串数字 key{you are r&amp
原来Python破解受密码保护的zip文件这么简单,不保证一定成功
微信号:RunsenLiu
05-22 1万+
相信大家都知道设置压缩文件的时候,可以设置密码,这种可以让zip或者rar压缩包进行密码的添加。
如何设置和取消RAR文件的密码保护
Chinland'Blog
07-06 1352
设置和取消RAR密码保护的详细操作。
一款基于Python-Django的多功能Web安全渗透测试工具源码.zip
05-08
这款基于Python-Django的Web安全渗透测试工具源码是一个强大的多用途平台,旨在帮助安全专家和开发者检测并解决Web应用程序的安全问题。它整合了多种功能,包括漏洞扫描、端口扫描、指纹识别、目录扫描、旁站扫描...
Web-安全渗透全套教程13SQ.zip
05-22
Web安全渗透是网络安全领域的重要部分,它涉及到对Web应用程序的深度理解和系统性的安全测试,以发现潜在的安全漏洞并防止黑客攻击。本套“Web-安全渗透全套教程13SQ”显然是一个面向初学者到进阶者的教学资源,旨在...
web渗透系列教学下载共64份.zip
12-30
web渗透--2--web渗透测试清单.pdf web渗透--20--HTTP Host头攻击.pdf web渗透--21--SQL注入(上).pdf web渗透--22--SQL注入(下).pdf web渗透--23--XML注入攻击.pdf web渗透--24--XXE外部实体注入.pdf web渗透--25...
WEB渗透技术研究与安全防御.docx
06-08
综上所述,针对Web渗透技术和安全防御的研究不仅有助于加深对网络安全威胁的理解,更为重要的是,它为制定有效的安全策略提供了理论基础和技术支持。通过对网络威胁进行全面分析和采取相应的防护措施,可以有效地...
WEB安全-兵器剖析.zip
10-25
在IT行业中,Web安全是一个至关重要的...综上所述,"WEB安全-兵器剖析"的主题涵盖了Web安全的各个方面,从攻击手法到防御策略,再到实际应用中的工具和最佳实践。理解并掌握这些知识,对于保障Web环境的安全至关重要。
RAR,ZIP压缩文件密码破解
07-25
RAR,ZIP压缩文件密码破解,多种密码格式,多种破解方法,此软件为破解版,一切后果由下载者自己承担,破解前请备份
Advanced Archive Password Recovery 恢复保护口令或将用所有流行的档案版本创建的加密
02-16
Advanced Archive Password Recovery (ARCHPR) 是一个灵活的,适用于 ZIP 和 RAR 档案的高度优化的口令恢复工具。它可以恢复保护口令或将用所有流行的档案版本创建的加密ZIP 和 RAR 档案解除锁定。 支持所有版本的 ZIP/PKZip/WinZip、RAR/WinRAR 以及ARJ/WinARJ 和 ACE/WinACE (1.x)
ARCHPRzip爆破
08-02
ARCHPR破解版是一个强大的压缩包密码破解工具,功能非常强大,界面简洁明晰、操作方便快捷,设计得很人性化,适用于ZIP和RAR档案的高度优化的口令恢复工具。ARCHPR破解版可以恢复保护口令或将用所有流行的档案版本创建的加密 ZIP 和 RAR 档案解除锁定。
ZIP RAR ACE ARJ PDF文件密码破解工具包
11-18
ZIP RAR ACE ARJ PDF文件密码破解工具包
利用ARCHPR明文攻击对zip口令进行破解以及报错解决
weixin_43778378的博客
05-12 2万+
目录实验目的实验过程实验工具准备实验样本构造明文攻击实验应用实验总结 实验目的 利用已有的部分明文文件,通过APCHPR明文攻击,来破解包含该文件的加密压缩包。 实验过程 实验工具准备 所用破解工具为ARCHPR4.54: 实验样本构造 1.首先我们新建一个明文文件“明文.txt”,并用WinRAR压缩到“明文.zip”。(如果直接选择“发送到zip”,APCHPR可能会报“在选定的档案中没有匹配的文件”错。) 2.然后我们将“明文.txt”和一些其他文件(当然也可以没有)用WinRAR压缩到“加密的.z
ARCHPR破解RAR文件提示:选择的文件不是ZIP/RAR/ACE/ARJ档案文件
2302_77302329的博客
05-24 4267
WinRar新出了个5.0版本算法,跟以前的算法不再一样,所以对使用最新算法设置密码的压缩文件ARCHPR不能支持解密,会出现“选择的文件不是ZIP/RAR/ACE/ARJ档案文件”的错误提示。提示:选择的文件不是ZIP/RAR/ACE/ARJ档案文件。使用其他暴破工具或者Python代码去暴破。
暴力破解zip
编程视觉
06-18 2011
用傻瓜的Ziperello来破解,时间长,但是如果解压密码是网页的话,在
3种方法解除RAR压缩文件的密码保护
热门推荐
Chinland'Blog
07-22 14万+
说说解除RAR压缩文件密码保护的3种方法。
Web渗透测试入门:基础与安全风险
"Web渗透测试攻略(上):学习如何进行Web应用的安全测试,了解网络IP配置,以及Web安全模型和风险。" 在Web渗透测试领域,深入理解Web应用程序的工作原理和潜在安全问题至关重要。这份文档旨在引导读者掌握必要的...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值