WEB安全点滴做起
发布时间:2013-10-07 19:08:59作者:知识屋
最近总是在听到站点又有漏洞被发现了,其实这些应该是习以为常的事情,单回头想想这些问题没有那样简单。漏洞被及早的发现是件好事,但是做为一名攻城狮怎么能保证自己的城不被攻下。
1、病从口入很有道理,很多漏洞都是对外部足够的信任而产生的,用户提交的所有数据($_REQUEST、$_COOKIE、$_SERVER)都有可能激发一个漏洞,真对外部的数据一定要妥善处理
2、特洛伊木马是个有名的故事,如果内部有不可靠地因素导致信息泄露这样会带来致命的伤害。内部信息传播一定要控制,不经意间的一条SNS消息可能会让”hacker”产生一个灵感
3、面向大众的提示信息拒绝”攻城狮语”(语法报错、报出当前系统使用各个服务的版本、项目的路径…..),在生产环境的项目屏蔽所有错误;header头信息中webserver的版本号(nginx.conf server配置中加入 server_tokens off;)php的版本号(php.ini 中expose_php = Off)在相关的配置中直接关闭即可,新版本php中需要配置默认时区(date.timezone =’PRC’);phpinfo页面拒绝让蜘蛛抓到,不经意间搜索了下disable-fileinfo 搜索结果页中竟然存在N页phpinfo
没有绝对的安全,只有在自己力所能及的范围防好自己的”城”,提高自己的警惕性方可侥幸绕开”漏洞”
1、病从口入很有道理,很多漏洞都是对外部足够的信任而产生的,用户提交的所有数据($_REQUEST、$_COOKIE、$_SERVER)都有可能激发一个漏洞,真对外部的数据一定要妥善处理
2、特洛伊木马是个有名的故事,如果内部有不可靠地因素导致信息泄露这样会带来致命的伤害。内部信息传播一定要控制,不经意间的一条SNS消息可能会让”hacker”产生一个灵感
3、面向大众的提示信息拒绝”攻城狮语”(语法报错、报出当前系统使用各个服务的版本、项目的路径…..),在生产环境的项目屏蔽所有错误;header头信息中webserver的版本号(nginx.conf server配置中加入 server_tokens off;)php的版本号(php.ini 中expose_php = Off)在相关的配置中直接关闭即可,新版本php中需要配置默认时区(date.timezone =’PRC’);phpinfo页面拒绝让蜘蛛抓到,不经意间搜索了下disable-fileinfo 搜索结果页中竟然存在N页phpinfo
没有绝对的安全,只有在自己力所能及的范围防好自己的”城”,提高自己的警惕性方可侥幸绕开”漏洞”
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
相关知识
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
