局域网内的安全误区WEB安全
“HoneyWorks”通过精心收集,向本站投稿了10篇局域网内的安全误区WEB安全,下面是小编整理后的局域网内的安全误区WEB安全,欢迎您阅读分享借鉴,希望对您有所帮助。
篇1:局域网内的安全误区WEB安全
局域网技术将网络资源共享的特性体现得淋漓尽致,它不仅能提供软件资源、硬件资源共享,还提供Internet连接共享等各种网络共享服务,越来越多的局域网被应用在学校、写字楼、办公区。一方面目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议,各种 工具一样适用于局域网;另一方面局域网中的计算机更多体现的是共享和服务,所以局域网的安全隐患较之于Internet更是有过之而无不及。下面的几个安全隐患是局域网用户经常会发生的,特别值得注意。
误区一:局域网中无需单机防火墙
有人认为局域网有防火墙,单机上就不需要再安装防火墙,这可以说是一个自欺欺人的想法。其实多数的网络攻击,蠕虫攻击都是来局域网的内部。究其根本原因,由于蠕虫病毒大都具备自我复制的特征,它们不会限于仅在网络中的一台计算机上发作,“中招”的计算机往往会连累到局域网中其他用户。而且这类在局域网中扩散的病毒,其顽固程度也远非单机病毒可比,经常会发生职员甲把自己机器上的病毒杀干净后,又会由于职员乙尚未杀毒而再次被感染同种病毒的情况。比如震荡波,简直就是阴魂不散的代表之作!
局域网用户的防火墙安装设置需要注意下面一些问题:
1.不要觉得安全标准设置得越严越好,如果安全标准设置过高,会造成许多网络应用不能实现,如办公自动化系统、共享应用等。一旦你防火墙设置过于严格,妨碍了你的日常应用,你就会觉得防火墙碍事而卸载它,结果得不偿失。
2.不要以为所有出去的信息都是无害的,现在有很多反弹木马,能够主动向外连接客户端。因此Windows XP SP2内置的防火墙默认设置不能防止反弹木马,可以考虑更换其它功能全面的木马。
3.随时注意检查防火墙的状态,许多病毒、软件有关闭防火墙的功能,一旦你发现自己的防火墙无故被关,就要注意了,赶紧使用最新的杀毒软件查查。
误区二:没有人会针对我
局域网的用户都会认为, 喜欢的都是那些大的网站,自己一定不会遇到,
其实,这种想法是错误的,大部分“初级” 只是利用已经公开的安全漏洞,他们仅仅是一群是稍微懂点电脑知识的人,通过网络上下载的工具,往往首先在自己的局域网中做测试。如果你没有足够的安全意识,或许你的电脑已经被人像逛街一样溜达了好几圈还不知道。
如果你在使用电脑时,没有使用光驱、软驱,却突然发现光驱、软驱有读盘的操作,此时就得格外小心了,很有可能已经有人登录到你的电脑上,建议马上拔掉网线,并迅速检查硬盘上是否有不熟悉的文件存在,然后安装一个防火墙看看谁试图连接你的电脑。
误区三:安装杀毒软件和病毒防火墙就不怕病毒
通常安装了杀毒软件和病毒防火墙之后,可以预防一些已知的病毒。由于病毒种类和形式在不断翻新,而且它的出现往往无法预料,杀毒软件要不断升级才能对付新出现的病毒,即使这样有很多时候杀毒软件升级到最新版也不能杀掉全部的病毒。升级到最新,只是能让你的电脑拒绝更多的病毒,让你的电脑处于更安全的状态,并不意味着你就可以忽略电脑安全。现在越来越多的病毒使用 的手段入侵正常的电脑,有些人以为只要不打开网页就不会感染病毒,就可以不打开杀毒软件防毒。其实,虽然不少病毒是通过网页传播的,但是也有不少病毒根本不需要通过网页就能入侵电脑,冲击波、蠕虫病毒等,都会在你不知不觉中进入你的电脑。
误区四:安装了SP2的Windows XP就安全了
现在许多的系统安全漏洞一被发现,就有人制作最新的漏洞利用工具,因此仅仅依靠系统自动安装的补丁程序是不够的。通常局域网的网络管理员都会通知网络用户及时安装各类系统的补丁,这些补丁通常都是厂家针对目前流行的病毒和漏洞而特制的程序,如果不及时安装这些程序就有可能被最新的病毒感染,造成个人数据的丢失,严重的甚至影响整个网络的稳定运行。局域网的用户应经常注意单位或者微软网站的安全公告,并根据要求及时安装相应的补丁程序。
篇2:局域网内没有硝烟战争网站安全
局域网内没有硝烟战争 本文章为回忆录,现在局域网中在也没有攻击我的人喽,各位看官将就着看吧
飘到北京后住的条件真的不咋样,小小的屋子不说而且N人共用一条2M网线,对于我这个下载狂人来说简直要崩溃了,房东走后赶快插上网线上网泡会,好多天没上网了,上了没有2分钟后打不开网页了,纳闷了一分钟左右突然醒悟了,我了个去的,有人P2P我,好嘛,那我就陪你玩一玩,赶快更换IP,安装上彩影ARP防火墙
都设置好后我继续正常上网,几分钟后ARP防火墙疯狂报警,但是没有抓出罪魁祸首,我开启迅雷嗷嗷下载东西,估计玩P2P那丫快崩溃了,过了一会彩影抓到攻击来源为192.168.3.9,好嘛哥们,我不惹你你来惹我,抄起CnCerT.Net.SKiller设置线程60先给他干断网在说(这里192.168.3.9没有在线就拿108演示了)
过了一会不过瘾,抄起CAIN开始嗅探他,结果这丫在看珍爱网,只抓到了密码,用户名为一堆乱码,嗅了一晚上这丫一直在真爱网上逛,别的什么网站也不去,怎么玩他呢?看到工具包里的MaxHijack,拿出来看一下说明很霸气啊,
、使用说明:
1.设置网卡,网关IP,本地IP
2.下行劫持: 例如本机为192.168.3.3 目标为同一个子网的192.168.3.4 那么192.168.3.4 访问任何网页都会 入代码
3.上行劫持:本机为220.223.222.221 目标为同一个子网的220.223.222.225 那么任何访问220.223.222.225的客户端都会 入代码
4.代理: 用于CAM欺骗的数据包的目的MAC地址
5.被动恢复CAM :等待交换机自行恢复CAM表(不建议使用)
6.HTTP注入:开启代码注入功能
7.右侧控制条为劫持包的发包频率
8.底部状态栏分别为: 状态 代理IP/MAC 目标IP 发包频率 网卡负载
注意:请自行安装winpcap和.net 2.0
不可将本软件用于非法用途!否则后果自负,与CCTEAM无关,
看到第二条我兴奋了,赶快试试怎样,先给他弹个窗口
几秒钟后出现成功6次,停止了继续换个文字
等待了大概几分钟才出现成功,接着对我的ARP攻击就停止了,我估计那哥们吓着了,嘿嘿,第二天又修理了下108 IP的家伙,现在只要谁下载我就ARP发包直接 。从此打开网站在也没有出现在卡住打不开的时候了
篇3:无线局域网络通信安全研究
1 简介
无线局域网是在有线网络上发展起来的,是无线传输技术在局域网技术上的运用,而其大部分应用也是有线局域网的体现,由于无线局域网在诸多领域体现出的巨大优势,因此对无线局域网络技术的研究成为了广大学者研究的热点。
无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于无线路径进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11,但其存在设计缺陷,缺少密钥管理,存在很多安全漏洞。
文章针对IEEE802.11的安全性缺陷问题进行分析,并在此基础上对无线局域网的安全研究做出分析。
2 无线局域网的结构
根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。常用的具体有几种。
2.1 网桥连接型
不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
2.2 基站接入型
当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
2.3 Hub接入型
利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
2.4 无中心结构
要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。
3 无线局域网安全研究的发展与研究必要性
无线局域网在带来巨大应用便利的同时,也存在许多安全上的问题。由于局域网通过开放性的无线传输线路传输高速数据,很多有线网络中的安全策略在无线方式下不再适用,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,而将发射功率对准某一特定用户在实际中难以实现。这种开放性的数据传输方式在带来灵便的同时也带来了安全性方面的新的挑战。
IEEE标准化组织在发布802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护,
通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后的研究表明,WEP协议同样存在致命性的弱点。
为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(Robust Security Network)的概念,增强了无线局域网的数据加密和认证性能。
IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP(Temporal Key Integrity Protoco1)、CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等加密机制,同时引
入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。
4 无线局域网的安全现状及安全性缺陷
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和 的行为也更不容易防备。具体分析,无线局域网存在如下两种主要的安全性缺陷。
4.1 静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。
及时的更新共同使用的密钥并重新发布新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想像的。
4.2 访问控制机制的安全缺陷
(1)封闭网络访问控制机制:几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
(2)以太网MAC地址访问控制表:MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以 到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
5 无线局域网安全保障策略
5.1 SSID访问控制
通过对多个无线接人点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人,并对资源访问的权限进行区别限制。
篇4:如何保障Web服务器安全
如何保障Web服务器安全
维护Web服务器安全是信息安全中最不讨好的差事之一,你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。
你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。
对内部和外部应用分别使用单独的服务器
假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。
使用单独的开发服务器测试和调试应用软件
在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。
审查网站活动,安全存储日志
每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障,
在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的`)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。
培训开发者进行可靠的安全编码
软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。
给操作系统和Web服务器打补丁
这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。
使用应用软件扫描
如果负担地起,你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住,要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。
篇5:Web安全测试知多少
1. 数据验证流程:一个好的web系统应该在IE端,server端,DB端都应该进行验证,但有不少程序偷工减料,script验证完了,就不管了;app server对数据长度和类型的验证与db server的不一样,这些都会引发问题。有兴趣的可参看一下script代码,设计一些case,这可是你作为一个高级测试人员的优秀之处哦。我曾修改了页面端的script代码,然后提交了一个form,引发了一个系统的重大漏洞后门。
2. 数据验证类型: 如果web server端提交sql语句时,不对提交的sql语句验证,那么一个 就可暗喜了。他可将提交的sql语句分割,后面加一个delete all或drop database的之类语句,能将你的数据库内容删个精光!我这一招还没实验在internet网站上,不知这样的网站有没有,有多少个。反正我负责的那个web系统曾经发现这样的问题。
3. 网络加密,数据库加密不用说了吧。
WEB软件最常碰到的BUG为:
1、SQL INJETION
2、对文件操作相关的模块的漏洞
3、COOKIES的欺骗
4、本地提交的漏洞
SQL INJETION的测试方法
原理:
如有一新闻管理系统用文件news.asp再用参数读取数据库里的新闻譬如
www.xxx.com/news.asp?id=1这一类网站程序
如果直接用
rs.open “select * from news where id=” &
cstr(request(“id”)),conn,1,1
数据库进行查询的话即上面的URL所读取的文章是这样读取的
select * from news where id=1
懂得SQL语言的就知道这条语言的意思是在news读取id为1的文章内容。
但是在SQL SERVER里select是支持子查询和多句执行的。如果这样提交URL的话
www.xxx.com/news.asp?id=1and 1=(select count(*) from admin
where left(name,1)=a)
SQL语句就变成了
select * news where id=1 and 1=(select count(*)
from admin where left(name,1)=a)
意思是admin表里如果存在字段字为name里左边第一个字符是a的就查询news表里id为1的内容,news表里id为1是有内容的,从逻辑上的角度来说就是1&P。只要P为真,表达式就为真,页面会返回一个正确的页面。如果为假页面就会报错或者会提示该id的文章不存在。 利用这点就可以慢慢得试用后台管理员的用户和密码,
测试:
测试存不存在SQL INJETION很简单如果参数为整数型的就在URL上分别提交www.xxx.com/news.asp?id=1and 1=1 和www.xxx.com/news.asp?id=1and 1=2
如果第一次返回正确内容,第二次返回不同页面或者不同容内的话表明news.asp文件存在SQL INJETION。如何利用就不多说了,毕竟我们都不是为了入侵。
对文件操作相关的模块的漏洞在测试
原理:
如一上传文件功能的程序upload.asp如果程序员只注重其功能上的需求没有考虑到用户不按常规操作的问题。如上传一个网页木马程序上去,整个网站甚至整个服务器的架构和源码都暴露而且还有一定的权限。
测试:
试上传asp,php,jsp,cgi等网页的文件看是否成功。
补充:
还有像 www.xxx.com/download/filespath.asp?path=../abc.zip
下载功能的软件如果
www.xxx.com/download/filespath.asp?path=../conn.asp
很可能下载到这些asp的源码数据库位置及用户密码都可能暴露。
其它还有很多,就不一一举例了。
COOKIES的欺骗
原理:
COOKIES是WEB程序的重要部分,COOKIES有利有弊。利在于不太占用服务器的资源,弊在于放在客户端非常容易被人修改加以利用。所以一般论坛前台登陆用COOKIES后台是用SESSION,因为前台登陆比较频繁,用SESSION效率很低。但如论坛程序管理员用户在前台也有一定的权限,如果对COOKIES验证不严的话,严重影响了WEB程序的正常工作。如前期的LEADBBS,只有后台对COOKIES验证严格,前台的位置只是从COOKIES读取用户的ID,对用户是否合法根本没有验证。
测试:
推荐使用MYBROWER浏览器,可即时显示及修改COOKIES。尝试一下修改里面的对应位置。
本地提交表单的漏洞
原理:
Action只接爱表单的提交,所以表单是客户WEB程序的接口。先举一个例子,一个投票系统,分A,B,C,D各项的VALUE是100,80,60,40。
但是如果先把些页面以HTML形式保存在本地硬盘里。然后修改其VALUE,再向其ACTION提交,ACTION会不会接受呢?
测试:
如一投票系统,把投票的页面保存在本地硬盘,用记事本打开,找到对应项的VALUE值,对其修改,然后提交。
强制后台浏览:绕过登陆页面,直接提交系统文件夹或文件页面。不完善的系统如果缺少index.html就可能被绕过登陆验证页面。在系统文件夹中保留一些公司机密内容也会造成不可估计的损失。
跨站脚本攻击:基本上这个我只是在论坛――各种形式的论坛里看到过,具体的一个例子,比如这段代码可以被填在任何输入框里 “”,如果未对一些字符,如 “<”、“>”进行转换,就会自动执行这个脚本。百度快照所提供的网页都自动将代码执行了。不信大家搜一点JS的代码,看看你能不能看到。
堆栈溢出攻击:完全的不了解,只是在某个网站上看到,可以对现在的、XP、进行攻击,非常恐怖,MS应该打了补丁了吧?
篇6:Web.config 安全相关配置WEB安全
web.config 位于根目录
1、authentication节点
基于窗体(Forms)的身份验证配置站点,当没有登陆的用户访问需要身份验证的网页,网页自动跳转到登陆网页。其中元素loginUrl表示登陆网页的名称,name表示Cookie名称
2、authorization 节点
allow 向授权规则映射添加一个规则,该规则允许对资源进行访问。
deny 向授权规则映射添加一条拒绝对资源的访问的授权规则。
users=“*” 是指任何用户 users=“?” 是指经身份验证的用户
注意: 运行时,授权模块从最本地的配置文件开始,循环访问 allow 和 deny 元素,直到它找到适合特定用户帐户的第一个访问规则。然后,该授权模块根据找到的第一个访问规则是 allow 还是 deny 规则来允许或拒绝对 URL 资源的访问。默认的授权规则为 。因此,默认情况下允许访问,除非另外配置。
如果在根目录下的web.config配置太繁琐,可以配置到相应目录下,例如User目录下的web.config文件
3、customErrors 节点
mode=“On|Off|RemoteOnly”>
defaultRedirect 可选的属性。指定出错时将浏览器定向到的默认 URL。如果未指定该属性,则显示一般性错误。
Mode 必选的属性。指定是启用或禁用自定义错误,还是仅向远程客户端显示自定义错误。
此属性可以为下列值之一。
值 说明
On 指定启用自定义错误。如果未指定 defaultRedirect,用户将看到一般性错误。
Off 指定禁用自定义错误。这允许显示标准的详细错误。
RemoteOnly 指定仅向远程客户端显示自定义错误并且向本地主机显示 ASP.NET 错误。这是默认值。
默认值为 RemoteOnly。
error 可选的元素。指定给定 HTTP 状态代码的自定义错误页。错误标记可以出现多次。子标记的每一次出现均定义一个自定义错误条件。
例如:
这里可以让用户自定义出错页。
4、pages 节点
validateRequest=“true”
该值确定 ASP.NET 是否针对危险值检查来自浏览器的输入。如果 ASP.NET 针对危险值检查来自浏览器的输入,则为 true;否则为 false。默认值为 true。
这个功能是为了防止跨站脚本等危险代码。使全局默认为true。只有小数页面,如搜索页面
Search.aspx 设为 : ValidateRequest=“false” 。为了可以搜索类似 等内容,如果只是文字性的输入,可修改页 search.aspx 的设置,以增强系统安全性。
Security.config 配置说明
文件位于config目录
1、后台页面访问配置
noCheckAdminLogOn
后台不检查权限的页面
2、检查外站链接的后台页面配置
noCheckUrlReferrer
后台不检查来源页的列表,即管理员用户可以直接访问的文件列表,
后台设置是默认不允许直接访问,这样可以保护后页页面不被非法方式访问和外站链接访问,有效防止跨站请求伪造。
如果文件不在列表中,直接在URL 里访问,将出现错误提示:
产生错误的可能原因:
对不起,为了系统安全,不允许直接输入地址访问本系统的后台管理页面。
如需要,用户可以加上自定义的内容。
3、防止跨站请求伪造追加安全码的页面配置
checkSecurityCode
页面提交时检查安全码。
防止不正常操作(恶意操作)造成系统重大损失。也是对一些重要操作的保护,防止跨站请求伪造。
如:
4、页面操作权限码的配置
checkPermissions
页面操作权限码的配置,检查后台管理员是否有相关操作码的权限。
operateCode 为操作码 根据操作码判断是否存在此操作的权限。
checkType 权限判断类型, or and
or 操作码中的权限进行或运算,即有其中任何一种权限,就返回true
这个默认值是or 而且对于单一权限码的,可以不用配置
and 操作码中的权限进行与运算,即要求有全部权限才返回true 否则返回false.
AjaxLabel.config 配置说明
是对AJAX.aspx 的文件访问权限控制配置文件。
由于前台AJAX标签过于强大,会致使 AJAX标签 会出现一些危险性,对此我们做了一个XML安全文件来配置那些AJAX标签可以直接引用。这个AjaxLabel.config 文件是在 网站根目录的Config 目录下。如果标签没有记录,就会出现 本标签禁止访问!
例如:
是指标签名 为 “内容评论PK标签” 的标签可以被ajas.aspx调用,而且参数param只能为 “generalid”,类型为Int,这样能有效防止恶意攻击。
如果用户需自定义标签,而且需要ajax.aspx 文件调用,那就在AjaxLabel.config 中配置
app_offlineX.htm 文件作用
如果你要COPY站点,进行站点维护,部署,和进行大量修改,有可能要停掉你的WEB应用程序了,而以一个友好的方式提示给用户,比如什么“本网站正在更新”等等的信息,你可以把文件app_offlineX.htm 改名为app_offline.htm(大小写没关系)的静态HTM页面文件,其中修改成你要临时显示的内容,将其放在你的应用的根目录下。这样,任何外部的请求的话,都会马上被转移到该页面了。
网站维护完成后记得将文件名app_offline.htm改回。
AllowString.xml 文件配置
文件位于Common目录下
文件的作用是:会员发表信息时启用防XSS(跨站攻击)设置时,让用户设置允许会员提交部份特殊js 代码。
XSS是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
例如:
功能是: 允许保留 nmousewheel=“return bbimg(this)” 和 nload=“resizepic(this)” 代码。这是对FCK上传图片功能的一个保留。
如用户想让系统过滤不要太严格,可在这里加上相应保留代码。
篇7:web安全现状调查报告
web安全现状调查报告
根据Menlo Security最近发布的20web安全先转报告,Alexa排名前100万的网站有46%都存在安全风险,对访问网站的企业和个人用户构成安全威胁。
Menlo在去年的web安全报告中给出两个重点数据:三分之一的Alexa排名前100万网站存在安全风险,五分之一运行着有漏洞的软件。而年的报告数据——接近半数网站存在安全风险,表明全球互联网的'web安全风险正在快速累积。
Menlo今年的web安全报告重点调查了Alexa排名前100万网站的2500万个后台请求,也就是当用户访问那些最流行的网站时,浏览器后台“悄悄”访问的一大堆web地址或服务,例如内容分发、广告网络、用户跟踪等等。Menlo Security首席技术官Kowsik Guruswamy表示:
表面上你只访问了一个网站,实际上你访问了25个网站!
Menlo将那些后台访问第三方服务存在的漏洞的网站也标记为风险网站,因为这些漏洞对主站的访问用户来说同样构成风险。研究者在评估一个网站风险的时候将第三方服务和软件的发布日期、软件版本、CVE ID和第三方风险评估也都考虑在内。
根据Menlo的报告,目前web安全风险快速增长的原因有三个:
网站比过去更加容易被攻击
传统安全产品无法提供足够的保护
越来越多的钓鱼攻击开始利用合法的网站掩护
web软件技术过时是web安全面临的最大风险,数以万计的web服务器都在运行过时的软件,而且后台的网络广告系统也非常容易被攻击利用来分发恶意软件。
Menlo报告的一些亮点图表如下:
风险最高的网站类型
软件漏洞最多的网站类型
篇8:Flash安全的一些总结WEB安全
整理了下Flash安全相关的知识,后面会再完善
一、先来说crossdomain.xml这个文件
flash如何跨域通信,全靠crossdomain.xml这个文件,这个文件配置在服务端,一般为根目录下,限制了flash是否可以跨域获取数据以及允许从什么地方跨域获取数据。
比如下面的列子:
1、www.a.com域下不存在crossdomain.xml文件,则不允许除了www.a.com域之外的其他任何域下的flash进行跨域请求。
2、www.a.com域下存在crossdomain.xml文件,如若配置 allow-access-from 为www.b.com,则只允许www.b.com域下的flash进行跨域请求,以及来自自身域www.a.com的网络请求。
crossdomain.xml需严格遵守XML语法,有且仅有一个根节点cross-domain-policy,且不包含任何属性。在此根节点下只能包含如下的子节点:
site-control
allow-access-from
allow-access-from-identity
allow-http-request-headers-from
site-control
早期的flash允许从其他位置载入自定义的策略文件,目前最新版的flash在接受自定义的策略文件之前会去检查主目录的crossdomain.xml来判断是否接受自定义策略文件。该选项就由site-control进行控制。
不加该选项时,默认情况下flash不加载除主策略文件之外的其他策略文件,即只接受根目录下的crossdomain.xml,这样可以防止利用上传自定 义策略文件进行的攻击。如果需要启用其他策略文件,则需要配置permitted-cross-domain-policies属性,该属性有以下五个 值: none: 不允许使用loadPolicyFile方法加载任何策略文件,包括此主策略文件。
master-only: 只允许使用主策略文件[默认值]。
by-content-type:只允许使用loadPolicyFile方法加载HTTP/HTTPS协议下Content-Type为text/x-cross-domain-policy的文件作为跨域策略文件。
by-ftp-filename:只允许使用loadPolicyFile方法加载FTP协议下文件名为crossdomain.xml的文件作为跨域策略文件。
all: 可使用loadPolicyFile方法加载目标域上的任何文件作为跨域策略文件,甚至是一个JPG也可被加载为策略文件!
例子:
允许通过HTTP/HTTPS协议加载http头中Content-Type为text/x-cross-domain-policy的文件作为策略文件
允许加载任意文件作为策略文件
allow-access-from
该选项用来限制哪些域有权限进行跨域请求数据。
allow-access-from有三个属性
domain:有效的值为IP、域名,子域名代表不同的域,通配符*单独使用代表所有域。通配符作为前缀和域名进行组合代表多个域,比如*.weibo.com,代表weibo.com所有的子域。
to-ports:该属性值表明允许访问读取本域内容的socket连接端口范围。可使用to-ports=“1100,1120-1125”这样的形式来限定端口范围,也可使用通配符(*)表示允许所有端口。
secure:该属性值指明信息是否经加密传输。当crossdomain.xml文件使用https加载时,secure默认设为true。此时将不允许flash传输非https加密内容。若手工设置为false则允许flash传输非https加密内容。
例子
a.com/crossdomain.xml文件内容如下
允许所有qq.com的子域通过https对t.qq.com域进行跨域请求。
allow-access-from-identity
该节点配置跨域访问策略为允许有特定证书的来源跨域访问本域上的资源。每个allow-access-from-identity节点最多只能包含一个signatory子节点。
allow-http-request-headers-from
此节点授权第三方域flash向本域发送用户定义的http头。
allow-http-request-headers-from包含三个属性:
domain:作用及参数格式与allow-access-from节点中的domain类似。
headers:以逗号隔开的列表,表明允许发送的http头。可用通配符(*)表示全部http头。
secure:作用及用法与allow-access-from节点中的secure相同。
注:Flash 在自定义HTTP头中无法使用下列请求标题,并且受限制的词不区分大小写(例如,不允许使用 Get、get 和 GET)。 另外,如果使用下划线字符,这也适用于带连字符的词(例如,不允许使用 Content-Length 和 Content_Length):
Accept-Charset、Accept-Encoding、Accept-Ranges、Age、Allow、Allowed、Authorization、Charge-To、Connect、Connection、Content-Length、Content-Location、Content-Range、Cookie、Date、Delete、ETag、Expect、Get、Head、Host、Keep-Alive、Last-Modified、Location、Max-Forwards、Options、Post、Proxy-Authenticate、Proxy-Authorization、Proxy-Connection、Public、Put、Range、Referer、Request-Range、Retry-After、Server、TE、Trace、Trailer、Transfer-Encoding、Upgrade、URI、User-Agent、Vary、Via、Warning、WWW-Authenticate 和 x-flash-version,
二、web应用中安全使用flash
设置严格的crossdomain.xml文件可以提高服务端的安全性,在web应用中也会经常使用flash,一般是通过
flash是直接可以执行js代码的,所以在web应用中如果使用不当也会很危险,所以flash使用下面两个属性来保证引用flash时的安全性。
allowScriptAccess 和 allowNetworking
allowScriptAccess用来控制flash与html的通讯,可选的值为:
always //对与html的通讯也就是执行javascript不做任何限制
sameDomain //只允许来自于本域的flash与html通讯,这是默认值
never //绝对禁止flash与页面的通讯
allowNetworking用来控制flash与外部的网络通讯,可选的值为:
all //允许使用所有的网络通讯,也是默认值
internal //flash不能与浏览器通讯如navigateToURL,但是可以调用其他的API
none //禁止任何的网络通讯
在allowNetworking设置为internal时,下面API将会被禁止使用:
fscommand
navigateToURL()
ExternalInterface.call()
在allowNetworking设置为none时,下面API将会被禁止使用:
sendToURL()
FileReference.download()
FileReference.upload()
Loader.load()
LocalConnection.connect()
LocalConnection.send()
NetConnection.connect()
URLStream.load()
NetStream.play()
Security.loadPolicyFile()
SharedObject.getLocal()
SharedObject.getRemote()
Socket.connect()
Sound.load()
URLLoader.load()
XMLSocket.connect()
在web应用中使用flash的时候一般通过设置这两项即可保证安全性,如果在web应用中使用的flash为用户可控,强烈建议这两项的设置值为
allowScriptAccess=never allowNetworking=none
三、flash安全编程
如果web应用中调用flash时设置的allowScriptAccess为never、allowNetworking为none,即使flash文件 本身存在漏洞也可以忽略。不过事实上大部分web应用不会设置这两项属性,甚至会设置的不安全,比如allowScriptAccess为always、allowNetworking为all。所以在进行flash开发的时候就要考虑好安全性。
flash编程不安全可导致两方面的漏洞:
1、通过ExternalInterface.call()执行javascript代码
2、通过loadMovie()等方式可以载入外部flash文件执行
这两类问题都是需要通过参数接收外面传入的数据,在flash内部没有对数据进行严格的控制造成的。
例子:
this.movieName = root.loaderInfo.parameters.movieName;
this.flashReady_Callback = “SWFUpload.instances[\”“ + this.movieName + ”\“].flashReady”;
ExternalCall.Simple(this.flashReady_Callback);
public static function Simple(arg0:String){
ExternalInterface.call(arg0);
return;
}
接收到外部传入的movieName没有进行处理,最后通过ExternalInterface.call()进行执行,这样就能够执行任意的javascript代码,如果在调用flash的时候设置的不够安全就是XSS漏洞。
所以在flash编程中如果需要通过参数接收外部传入的数据,一定要对数据进行严格的检查,这样才能保证flash安全性。
参考文档:
Flash应用安全规范 www.80sec.com/flash-security-polic.html
flash跨域策略文件crossdomain.xml配置详解hi.baidu.com/cncxz/blog/item/7be889fa8f47a20c6c22eb3a.html
Cross-domain Policy File Specificationwww.senocular.com/pub/adobe/crossdomain/policyfiles.html
?
篇9:浅谈web服务器的安全保护
浅谈web服务器的安全保护
摘 要:web网站是承载信息化的一个平台,保证web的安全是一项基础而重要的工作。本文就关于web安全保护的几个方面进行了相关论述。
篇10:浅谈web服务器的安全保护
随着信息技术的飞速发展,网站作为宣传、教学、交互和办公自动化等活动不可或缺的平台已经越来越得到重视了。然而访问网站的群体中有个体会有意无意间攻击网站服务器的主体。各类网站服务器面临着越来越严峻的安全威胁,怎样才能更好地“加固”我们的服务器成为了每个网站安全维护人员所面临的艰巨任务。
Web服务器的安全是web服务及应用的安全紧密有机结合的整体,通常工作分为两部分。
一、服务器的安全措施
最简单的就是,提高服务器的安全意识,养成比较好的日常计算机操作习惯。服务器作为计算机广泛应用的重要部分,对计算机简单的日常维护也是很必需的。对于个人,比如说及时检查系统漏洞打好系统补丁、升级杀毒软件更新病毒数据库、定时查杀电脑内存等基本工作,并避免移动存储设备与网站服务器直接相连。对于网站来说,对网站及重要的数据库文件进行定期备份,多个服务器之间也可以相互备份。当一个服务器出现软件或硬件故障时,另一个服务器可以用来作为临时的替代。定期分析服务器日志,及时发现服务器软件和硬件的异常以及攻击者留下的蛛丝马迹,以便及时对应。借助一些成熟的日志分析软件,可以有效的提高分析日志工作的效率。
其次是密码的更改,服务器操作系统出厂时的安装一般都是开启的默认状态,多是些名字如guest的没用账号,更不要用administrator这类windows默认管理 账户作为管理 员账户。以防万一,最好是建立两个及两个以上的管理 账户,并对他们进行严格的账户权限控制,不是非必要情况,不要将整个服务器予以授权。其次在设计密码时,也要有一定的复杂性。由于暴力破解密码的手段和速度越来越快,所以在设计密码时,最好是字符、字母、特殊符号、数字等组合的十二位以上的字符串,并定期更改密码防治破解。我们在设计密码时,为了防止因为定期更换密码而出现忘记密码的尴尬情况,可以采用“联想法”创造出一些有趣又好记的密码,比如说“5iskyde**”就可以依据“我爱天上的星星”而记住。对于程序系统文件,密码最好采用md5等算法加密后再存储于数据库。对数据库设置密码或采用其他工具加密,也可以使得攻击者在得到数据的情况下,也不能很轻易的就破解使用。
再次,尽量不用服务器浏览网页,尤其是不可信任的网站,而且尽量避免与服务器不相关的软件,尤其是一些黑客或黑客学习软件或破解软件。对于程序系统中的数据库文件名最好掺杂一些特殊符号,成为较复杂不易猜中的文件名。同时将数据库文件扩展名改成asp或asa,防止他人下载。
最后,做好服务分属和保留地址。企业内的服务通常有DNS服务、FTP服务等,对于重要的不同的服务最好是分属开来,实行单一化管理 ,避免多项服务对服务器造成影响,增加自身运行压力。服务器要保留一部分地址只供服务器使用,并将这些IP地址和服务器的MAC地址绑定,因为服务器的.地址分为永久不被侵占性和完全不受控制性,这样就可以避免服务器地址被占用而造成服务中断。
二、web的安全
1、优化ⅡS设置
更改ⅡS日志路径避免使用默认的缺省路径,虽然默认的报错信息给管理 人员在检查和修正网页错误的时候带来了极大的方便,但是同时也给伺机寻找asp程序漏洞的攻击者提供了非常重要的信息。就算要使用默认的web站点,也要将ⅡS目录与系统磁盘分开了再用。在配置应用程序映射时,只保留asp、cgi、php、pl应用扩展名,其他所有不必要的应用程序扩展都删除。
2、MySQL安全设置,检查mysq1.user表, 关于shutdown_priv, process_priv, File_priv和reload_priv的权限可能泄露重要的服务器信息,所以尽量取消。对于mysql安全目录,限制user读取、列目录和执行的权力。
3、Serv-U的安全技术
现今Windows操作系统下最流行、使用最方便、功能最齐全、目前国内应用最多的FTP服务器软件之一就是FTP Serv-U.FTP是虚拟主机的一部分,所以可以通过更改Serv-U FTP服务器的服务帐户来加强安全级别。Serv-U有一个默认的System启动的管理 用户,通过一个能访问本地端口43958的账号,任何人都可以执行任意内部和外部命令和随意增删账号。解决的办法可以是设置一个用于启动Serv—U服务并属于Guests组的用户,从而设置Serv-U服务登陆设置、IIS网站和注册表设置文件夹权限。
参考文献:
【局域网内的安全误区WEB安全】相关文章:
文档为doc格式
