自怕偷自怕亚洲精品_我忘记穿内裤被同桌摸了一天 _x8x8国产在线观看2021_日本人与野鲁xxxx毛片

設(shè)為首頁 | 收藏本站 | 聯(lián)系我們
客戶服務(wù)熱線

聯(lián)系人:十堰誠聯(lián)

電 話:0719-8888168

       8028688

手機號:18907282528

傳 真:0719-8888168

騰訊QQ:點點擊這里與十堰誠聯(lián)聯(lián)系

地 址:十堰市張灣區(qū)萬達廣場C座8層

您當前位置:網(wǎng)站首頁 > 技術(shù)資料 >

技術(shù)資料

軟件檢測過的安全網(wǎng)站不一定安全

時間:2015-05-06 14:38 來源:未知 作者:Chenglian 點擊:

1、 概述

  網(wǎng)站安全主要從網(wǎng)絡(luò)安全、主機系統(tǒng)安全、WEB服務(wù)安全及頁面數(shù)據(jù)安全等方面進行檢測,網(wǎng)絡(luò)、主機等基礎(chǔ)環(huán)境的安全檢測此處不再述。

  2、 Web 服務(wù)安全防護

  2.1 Web 應用安全檢測

  (一) 對于商業(yè)軟件,如Oracle,Apache等通用組件系統(tǒng),應當依據(jù)廠商或第三方安全機構(gòu)提供的安全配置加固列表進行安全設(shè)置,在廠商推出安全修補程序后應及時進行    安全補丁更新。

  (二) 應當定期對采用通用程序(如Apache,Websphere等)的應用系統(tǒng)進行弱點掃描,并及時解決所發(fā)現(xiàn)的問題;掃描應當在非關(guān)鍵業(yè)務(wù)時段進行,并制定詳細的回退計劃。

  (三) 隱藏Apache的版本號及其它敏感信息

  默認情況下,很多Apache安裝時會顯示版本號及操作系統(tǒng)版本,甚至會顯示服務(wù)器上安裝的是什么樣的Apache模塊。這些信息可以為黑客所用,并且黑客還可以從中得知你   所配置的服務(wù)器上的很多設(shè)置都是默認狀態(tài)。‘

  這里有兩條語句,你需要添加到你的httpd.conf文件中:

  Serversignature off

  Servertokens prod

  Serversignature出現(xiàn)在Apache所產(chǎn)生的像404頁面、目錄列表等頁面的底部。Servertoken目錄被用來判斷Apache會在Server HTTP響應包的頭部填充什么信息。如果把      ServerTokens設(shè)為Products,那么HTTP響應包頭就會被設(shè)置成:

  Server:Apache

  (四)確保web根目錄之外的文件沒有提供服務(wù)

  拒絕Apache訪問web根目錄之外的任何文件。假設(shè)你的所有Web站點文件都放在一個目錄下(例如/web),你可以如下設(shè)置:

  Order Deny,ALLow

  Deny from all

  Options None

  Allowoverride None

  Order ALLow,Deny

  Allow from all

  注意,因為軒opitins None和Allowoverride None,這將關(guān)閉服務(wù)器的所有Options和OCerride。必須明確把每個目錄設(shè)置成Options或者Override。

  (五)、關(guān)閉目錄瀏覽

  在Directory標簽內(nèi)用Options命令來實現(xiàn)這個功能。設(shè)置Options為None或者-Indexes.

  (六)、關(guān)閉Includes

  通過在Directory標簽內(nèi)使用Options命令實現(xiàn)。設(shè)備Options為None或者-Includes。

  Options –Includes

  (七) 、關(guān)閉CGI執(zhí)行程序

  如果不用CGI,對其進行關(guān)閉。在目錄標簽中把選項設(shè)置成None或——ExecCGI就可以:

  Options —ExecCGI

  (八) 、禁止Apache遵循符號連接

  同上,把選項設(shè)置成None或者—FollowsymLinks:

  Options —FollowSymlinks

  2.2 Web 網(wǎng)站化代碼安全檢測

  (一) 、采用最新版本的Web服務(wù)程序;

  (二) 、采用最小權(quán)限的原則設(shè)置專門帳戶用于運行網(wǎng)站服務(wù)、數(shù)據(jù)庫服務(wù);

  (三) 網(wǎng)站與數(shù)據(jù)庫分離,禁止Web服務(wù)與數(shù)據(jù)庫服務(wù)運行于同一臺服務(wù)器上;

  (四) 對IIS、Apache等Web服務(wù)進行合理配置,防范目錄權(quán)限、寫權(quán)限、文件下載等漏洞;

  (五) 加強網(wǎng)站代碼的安全性,對互聯(lián)網(wǎng)用戶提交網(wǎng)站數(shù)據(jù)庫的數(shù)據(jù)進行嚴格過濾,防范SQL注入,如“_、’、”、and、exec、--、or”等:

  (六) 對于互聯(lián)網(wǎng)用戶提交的URL、留言等內(nèi)容進行嚴格過濾,防范跨站攻擊,如:“<、>、’、”、script、/、(、)”等;

  (七) 嚴格限制對外網(wǎng)站的文件上傳功能,對需要提供上傳功能的網(wǎng)站 要加強上傳文件的格式、內(nèi)容松果,并進行病毒查殺,防止互聯(lián)網(wǎng)用戶上傳惡意代碼;

  (八) 設(shè)置不宜猜測的后臺管理目錄,防范對后臺管理暴力破解。

更多

您可能還對以下文章感興趣...