WEB开发安全设置的若干个问题与症状的十万八千里
1、 很奇怪的症状:所有HTML静态页面都显示HTML原内容,没有被IE/FIREFOX解析,同时 就是[url]http://site-ip/site-name[/url]如果没有在SITE-NAME后加/则无法访问。APACHE的别名设置肯定是没问题的。其他的都好好的。 问题的症结: 在SITE-NAME的LOCATION节加入NTLM的登录设置,可是一次无意的设置把AUTHTYPE NTL....
Web服务器的配置与管理(4) 配置访问权限和安全
1. 用户身份验证 IIS网站默认是允许所有用户连接,如果对网站的安全性要求较高,网站只针对特定用户开放,就需要对用户进行验证,进行验证的主要方法有: • 匿名身份验证 • 基本身份验证 • 摘要式身份验证 • Windows身份验证 系统默认只启用了匿名身份验证...
Web应用中保证密码传输安全
去年写过一篇博文《Web应用的安全的登录认证》,使用HMAC的加密算法保证了在登录时的密码安全。虽然没看到有人质疑,但这里至少会引出一个问题:登录过程不需要将密码原文提交到服务器,但注册和修改密码这两个需要将密码原文提交到服务器的过程怎么办? 解决这一问题最佳方案当然是使用非对称加密。简单的说,非对称加密算法需要两个密钥,分别称为公钥和私钥,其中公钥会被公布出来,而私钥由个了保管(就像保.....
关于PKI架构(使用证书)保护Web访问的安全实现SSL的基本理论
当您正在使用电子商务、电子银行转存帐,可能您的Web页面需要经过安全加密处理,那么,此时您就必须用到https,其中的s是secure(安全保护的意思)https是在安全套接层(SSL)之上使用http,所以http的内容被SSL所保护。那么什么是SSL? SSL(Secure Sockets Layer 安全套接层),是为网络通信提供安全及数据完整性保障的一种安全协议,它工作在传輸层和...
web安全之信息刺探防范(上)
#----------------------------------------------------------# # ====> 红色字体 -特指煮酒个人所见。加粗则为需要重点注意。 ## ====> 蓝色加粗 -特指与本文相关人员,包括参与修正的朋友。 ## ====> 煮酒品茶 -Http://cwtea.blog.5...
保障Web服务的安全
从基于传送的安全转移到基于信息的安全 当我给出关于Web服务的介绍的时候,不可避免的就会有来自于听众的关于安全的问题。最常见的问题是:“你是如何保障Web服务的安全的”。通常会跟随着怀疑的论断:“Web服务不可能是安全的”。 但是,记住,今天的Web服务的主体是基于同样的再Web之下的授权的技术,我们称之为HTTP。从而,所有的常见的确保Web安全的应用程序——基本的认证和SSL是最常见....
网路游侠:某WEB应用安全扫描器介绍
比较纠结……刚写了很长,不小心按了一下“F5”全丢了……重新写! 我们知道,目前市面上的多数漏洞扫描系统,如我们熟知的X-Scan、流光、Nessus、NMAP等,多数是扫描操作系统、网络设备、系统应用的漏洞的,如:Windows、Linux、Unix、AIX漏洞;Cisco IOS漏洞;FTP、Apache漏洞等,而对网站应用程序自身的漏洞却几乎都无能为力(当然X-Scan和Nessus也....
【web安全】跨站攻击思路整理
接触跨站攻击一段时间了,有了一些认识,现在先按自己的理解理一下思路。后续有时间在针对里面详细的攻击方法做详解。 一.跨站脚本介绍 跨站脚本攻击(XSS)是一种攻击技术,是攻击者将恶意代码插入到回应给用户浏览器的代码中的一种实例。跨站脚本的几个特点: 受害者:跨站作用在客户端,而不是服务端,即受害者是客户端而不是服务器。 跨站类型:反射式;持久式;基于DOM式;其它式(包括嵌入FLASH,PDF等....
Web应用程序安全趋势
Web应用安全引言 Web应用程序的高速增长直接导致了相关安全事件的增加。现在,Web应用安全正受到越来越多的关注,并且在安全事务中的优先级也在不断提高,但是在技术领域仍然存在一些阻碍。这篇文章汇集了有关Web应用程序安全在技术和商业方面的趋势。 网络层与应用层的融合 通常意义上的风险评估和管理主要针对网络层或者操作系统层,利用手工渗透测试以及一些自动化安全评估工具来完成。当下的发展趋势上倾向于....
web安全之token
参考:http://blog.csdn.net/sum_rain/article/details/37085771 Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过session.....
本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。
web更多安全相关
阿里UC研发效能
分享研发效能领域相关优秀实践,技术分享,产品信息
+关注