- 综合排序
- 最热优先
- 最新优先
- 来自专栏高防服务器QaQ
web网络安全防护方案
这里就跟大家聊聊web网络安全防护方案。Web网络安全分为两大类: · Web服务器的安全性(Web服务器本身安全和软件配置)。 2.目录遍历 目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。 · 斜杠(/)使用ASCII编码表示为十进制的47,使用十六进制则为2f,因此变成%2f。 经Web服务器解析后,就成为下面的URL: .. 直接部署在Web服务器上的防火墙软件可以为服务器提供额外的防护。 Web应用防火墙。Web应用防火墙(WAFs)是具有Web流量深度检查功能的设备。 但是我们在日常使用的过程中常受到网络攻击的威胁,针对服务器的安全防护方案如下: 一、 及时安装系统补丁 不论是Windows还是Linux,任何操作系统都有漏洞,及时地打上补丁避免漏洞被蓄意攻击利用
1.5K20编辑于 2023-06-25 - 来自专栏天存信息的专栏
WEB安全防护相关响应头(上)
WEB 安全攻防是个庞大的话题,有各种不同角度的探讨和实践。即使只讨论防护的对象,也有诸多不同的方向,包括但不限于:WEB 服务器、数据库、业务逻辑、敏感数据等等。 除了这些我们惯常关注的方面,WEB 安全还有一个重要的元素——网站的使用者。 他们通常是完全没有 IT 知识的普通用户,网站方可以做点什么,以增加对这些普通用户的保护呢? 这类加入安全相关响应头的做法,往往是为了保护客户端/使用者的安全,减少使用者落入黑客的 WEB 陷阱的可能。 这里我们介绍一些较为常用的,和安全相关的响应头。 重点是防护后续的访问,所以后续的访问需要被强制升级为 HTTPS 协议。这个响应头需要在 HTTPS 流量里才有效,在 HTTP 流量里返回这个头并没有作用。 之困:现代Web应用安全指南》 List of HTTP header fields ie8 security part vi beta 2 update fetch Living Standard HTTP
2.6K10发布于 2021-06-03 - 来自专栏天存信息的专栏
WEB安全新玩法 防护交易数据篡改
[图5] HTTP 协议层面交互如下: [表2] 二、iFlow虚拟补丁后的网站 我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力, 成为 Web 应用的虚拟补丁。 攻击者的 HTTP 协议交互过程如下: [表4] 2.3 代码 iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。 考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。 通过这个例子可以看出,iFlow 与一般 WAF 的一个重要区别——iFlow 的规则是根据应用的实际情况和对安全功能的特定需求量身定制的,它不具备开箱即用的特点但却适合构造复杂的防护逻辑。
2.5K20发布于 2021-06-24 - 来自专栏Skykguj 's Blog
Web 安全:CC 攻击原理及防护方式
2.攻击原理 CC 攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。 1、命令行法 一般遭受 CC 攻击时,Web 服务器会出现 80 端口对外关闭的现象, 因为这个端口已经被大量的垃圾数据堵塞了正常的连接被中止了。 2、批处理法 上述方法需要手工输入命令且如果 Web 服务器 IP 连接太多看起来比较费劲,可以建立一个批处理文件,通过该脚本代码确定是否存在 CC 攻击。 脚本筛选出当前所有的到 80 端口的连接。 批处理下载: Download 4.防护方式 1.使用 CDN 服务,可减少攻击带来的损失。 2.经常观察流量状况,如有异常,立刻采取措施,将域名解析到 127.0.0.1 让攻击者自己攻击自己。 5.更改 Web 端口。 5.参考资料 https://baijiahao.baidu.com/s?
4.4K20编辑于 2022-09-09 - 来自专栏天存信息的专栏
WEB安全防护相关响应头(下)
前篇“WEB安全防护相关响应头(上)”中,我们分享了 X-Frame-Options、X-Content-Type-Options、HTTP Strict Transport Security (HSTS ) 等安全响应头的内容。 使用以下几种方式,可以加载和设定不同的「Referrer-Policy」策略: 方法一: 从 WEB 服务器端,整体地返回 Referrer-Policy 响应头: #Nginx配置: add_header 默认在没有其他设置的情况下,发往该图片的请求如下图,其中的 Referer 请求头里清晰地包含了父级页面的地址:http://www.sandbox.com/index.html [▲图2.正常状态下图片访问带 要对客户端进行更细粒度更有效的安全防护,目前更建议使用的机制是 CSP (Content Security Policy)。这个又需要一篇独立的文档来介绍了,敬请期待。
4K10发布于 2021-06-07 - 来自专栏天存信息的专栏
WEB安全新玩法 防护邮箱密码重置漏洞
iFlow 业务安全加固平台可以为设计不当的应用打上动态虚拟补丁,使之防御可能的恶意利用。 ----- 以某网站为例,其邮箱密码重置功能就存在缺陷:获取验证码的邮箱和重置密码的邮箱可以不一致。 各个实体的交互流程如下: [表2] 二、iFlow虚拟补丁后的网站 我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,成为 Web 攻击者的 HTTP 协议交互过程如下: [表4] 2.3 代码 iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。 考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。 从这个例子中我们可以看到,iFlow 适合构造前后报文相关联的复杂防护逻辑。(张戈 | 天存信息)
2.9K30发布于 2021-06-28 - 来自专栏渗透测试专栏
渗透测试web安全综述(2)——Web安全概述
黑帽子:利用黑客技术造成破坏,转为黑色产业,提供资源,贩卖漏洞,给商业带来损失,甚至进行网络犯罪; 灰帽子:白天良好公民,正常上班,半夜干坏事; 白帽子:从事网络安全行业,针对攻击手段制作防护工具和解决方案工作在反黑客领域 Web安全发展 在早期互联网中,Web并非互联网的主流应用。一方面是因为Web技术还没发展起来,不够成熟;另一方面通过系统软件漏洞往往能获得很高的权限。 SQL注入的出现是Web安全史上的一个里程碑,它最早出现大概是1999年,并很快就成为Web安全的头号大敌。就如同缓冲区溢出出现时一样,程序员们不得不日以继夜地去修改程序中存在的漏洞。 SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。 XSS(跨站脚本攻击)的出现则是Web安全史上的另一个里程碑。 type=update,而由于应用程序没有对参数g做充足的过滤且将参数值直接显示在页面中,相当于 weibo.com 在页面中嵌入了一个来自于 2kt.cn的JS脚本。
64820编辑于 2024-09-27 - 来自专栏渗透测试专栏
渗透测试web安全综述(4)——OWASP Top 10安全风险与防护
OWASP Top 10 OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)是一个在线社区,开源的、非盈利的全球性安全组织,主要在Web OWASP Top 10列出了公认的最有威胁性的Web应用安全洞,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞。 理想的来说,你应该避免将攻击者可控的数据发送给不安全的JavaScript API。 通常,防护策略如下,防止XSS需要将不可信数据与动态的浏览器内容区分开。 建立或采取一个应急响应机制和恢复计划,例如:NIST800-61rev2或更新版本。 目前已有商业的和开源的应用程序防护框架(例如:OWASPAppSensor)、Web应用防火墙(例如 :Modsecurity )、带有自定义仪表盘和告警功能的日志关联软件。
2.4K20编辑于 2024-09-27 - 来自专栏运维研习社
WEB基础防护-Apache
当下,各种黑客工具包,安全工具包随处都是,使得网络攻击成本大大降低,随便一个小白,找个工具,一通乱扫,都能轻松入侵一台安全防护不高的服务器。 而相比其他攻击,web入侵的门槛要更低一些,是小白入门首选,所以今天简单总结了一些常规的web防护,通用的一些防护。具体的防护,要根据具体的项目情况去调整,这里就不赘述了。 目前常用的方法有:使用高防机房盾机服务、使用第三方web安全防火墙、使用CDN 对于高防的昂贵费用,一般的公司很难承担,但如果你遇到严重的DDOS,一个是报警,再一个是乖乖用高防服务。 现在很多第三方安全公司,提供的智能云web防火墙,也是需要你把域名解析到他们的防火墙上,通过防火墙指定策略来进行web防护,也可以起到隐藏真实IP的作用。 根据判断IP地址归属地来进行IP阻断 可以充当WAF,它的安装很简单,直接通过yum install mod_security就可以安装,安装完成后,在httpd目录下,会生成一个mod_security2.
2.2K20发布于 2021-02-23 - 来自专栏Bypass
打破基于openresty的WEB安全防护(CVE-2018-9230)
漏洞简介:OpenResty 通过ngx.req.get_uri_args、ngx.req.get_post_args函数进行uri参数获取,忽略参数溢出的情况,允许远程攻击者绕过基于OpenResty的安全防护 但只要攻击者构造的参数超过限制数就可以轻易绕过基于OpenResty的安全防护,这就存在一个uri参数溢出的问题。 ,从而绕过基于OpenResty的WEB安全防护。 0x03 影响产品 基于OpenResty构造的WEB安全防护,大多数使用ngx.req.get_uri_args、ngx.req.get_post_args获取uri参数,即默认限制100,并没有考虑参数溢出的情况 ,攻击者可构造超过限制数的参数,轻易的绕过安全防护。
2.8K20发布于 2019-07-08 - 来自专栏Elton的技术分享博客
使用fail2ban增强Linux安全防护
其他版本的Linux可以通过源码或者rpm包安装 $ sudo emerge -av fail2ban 设置fail2ban /etc/fail2ban/fail2ban.conf 是fail2ban的全局基本配置 ,基本不用动 $ cat /etc/fail2ban/fail2ban.conf loglevel = 3 logtarget = /var/log/fail2ban.log socket = /tmp /fail2ban.sock /etc/fail2ban/jail.conf 是fail2ban的规则配置文件,我们需要根据情况来编辑它 [DEFAULT] ignoreip = 127.0.0.1 # 也可以直接定义运行中的fail2ban参数 比如增加屏蔽时间为一天 fail2ban-client set ssh-iptables bantime 86400 重新读入配置文件 fail2ban-client 那么就要修改fail2ban的启动规则,把上面那条改为 iptables -I INPUT 2 -p --dport -j fail2ban- 这样fail2ban就会把自己的规则作为
79020发布于 2021-01-22 - 来自专栏睿哥杂货铺
Web应用服务器安全:攻击、防护与检测
攻击方式 防护方式 说明 点击劫持(clickjacking) X-Frame-Options Header undefined 基于 SSL 的中间人攻击(SSL Man-in-the-middle 针对点击劫持攻击,开放Web应用程序安全项目(Open Web Application Security Project ,OWASP)(非营利组织,其目的是协助个人、企业和机构来发现和使用可信赖软件) NULL https://test.com/blog1/ https://test.com/blog2/ https://test.com/blog1/ http://test.com/blog1/ http://test.com/blog2/ http://test.com/blog1/ http://test.com/blog1/ http://example.com http://test.com Cyber-Security: Web应用安全:攻击、防护和检测 Cyber-Security: IPv6 & Security Cyber-Security: OpenSSH 并不安全 Cyber-Security
5.1K90发布于 2018-01-20 BOT管理与WAF联动防护:构建智能Web安全新防线
因此,将专业的BOT管理能力与WAF深度融合,实现联动防护,已成为企业构筑下一代Web安全防线的必然选择。 内容与金融平台:防御文章爬取、恶意注册和登录暴力破解,通过设备指纹绑定、API安全防护等手段保障业务安全。 主动特征检测 前端代码动态加密、设备指纹识别、0day漏洞防护 金融、电商等高安全需求场景 阿里云WAF AI智能学习+动态令牌验证 场景化防爬配置、Web SDK加签保护、数据风控引擎 中小企业、快速部署 攻击防护、CC防护、0day漏洞虚拟补丁 中小型网站基础防护 企业版 9,880 包含高级版所有功能,并增加API安全、BOT流量管理等 对安全要求较高的企业级用户 旗舰版 28,880 全功能保护,支持大流量业务与高级定制需求 大型企业、高并发、高安全要求场景 六、结语 在Web攻击日益自动化、智能化的今天,单一的防护手段已无法应对复杂的威胁。
41710编辑于 2026-02-28- 来自专栏Czy‘s Blog
简单安全防护
简单安全防护 一、服务器防护 1. 端口防护 尽量将端口禁用,尽量不要将端口暴露在公网,尽量仅供127.0.0.1访问 如非必要,尽量不要将服务暴露在公网,尤其是数据库等服务 设置连续登录失败禁用一段时间,防爆破 2. 3. web容器配置 Nginx提供限制访问模块,防护CC与DDOS limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone 独立用户 服务器设置用户启动某服务,非该服务用户不允许访问与执行 二、PHP防护 1. pcntl_sigwaitinfo pcntl_sigtimedwait pcntl_getpriority pcntl_setpriority imap_open apache_setenv 2.
1.9K10发布于 2020-08-27 - 来自专栏应用测评
腾讯云EdgeOne安全防护:快速上手,全面抵御Web攻击
为什么需要专业的安全防护? 在当今数字化时代,网站面临的安全威胁日益增多。据统计,2023年全球Web应用程序攻击超7千亿次,持续快速增长。 其中最常见的包括: DDoS攻击:通过海量请求使服务器瘫痪 Web应用攻击:如SQL注入、XSS跨站脚本等 恶意爬虫:窃取数据或消耗服务器资源 EdgeOne产品优势 边缘安全加速平台 EO(Tencent 防护配置 选择刚刚开启EO加速的站点,进入安全防护→Web防护 自定义规则可以让用户根据个人需求特点重点防护,其中包含了基础访问规则和精确匹配规则,基础访问可以进行简单的防护例如黑白名单等,精确匹配规则相对更加具体完善 五、告警通知推送配置 Web 安全监控规则可提供实时、定制化的安全事件通知,并支持 Webhook 推送,使告警与常用企业通讯工具无缝对接,提高安全运维效率,帮助快速发现并应对潜在风险。 无论是应对DDoS攻击、Web应用漏洞,还是防止恶意爬虫和业务滥用,EdgeOne都能以高效、低成本的方式帮助用户构建坚实的安全防线。
1.3K10编辑于 2025-08-22 - 来自专栏AI SPPECH
005_Web安全攻防实战:常见Web服务漏洞深度分析与防护指南
本文将系统地介绍常见的Web服务漏洞,包括服务器配置错误、默认设置风险、未修补漏洞等,深入分析其成因、危害和检测方法,并提供实用的防护建议。 服务的安全架构 一个安全的Web服务架构应包含以下层次的保护: 网络层安全:防火墙、DDoS防护、VPN等 传输层安全:TLS/SSL加密、证书管理 应用层安全:输入验证、输出编码、认证授权 数据层安全 数据保护 敏感信息安全:Web服务常处理用户个人信息、财务数据等敏感内容 数据完整性:确保数据不被未授权修改 数据隐私合规:符合GDPR、CCPA等隐私法规要求 2. 技术发展趋势 零信任架构普及:不再信任内部或外部的任何用户 DevSecOps实践深化:安全融入开发和运维全流程 容器安全和Kubernetes安全:容器化部署带来的安全挑战 AI驱动的安全防护:利用人工智能提升威胁检测和响应能力 评估漏洞在当前环境中的实际风险 推荐工具: Nessus:全面的漏洞扫描平台 OpenVAS:开源漏洞扫描器 Qualys:云端漏洞管理服务 OWASP ZAP:Web应用安全扫描器 2.
71910编辑于 2025-11-18 - 来自专栏AI SPPECH
016_移动端Web3安全:移动钱包防护与应用安全最佳实践
移动端Web3安全概述 1.1 移动Web3应用生态 移动端Web3应用生态正迅速发展,已成为用户与区块链交互的主要渠道之一。 2. :监控和修改剪贴板内容 持久性后门:在设备上安装长期存在的后门程序 2024年,针对Web3用户的移动恶意软件数量增长了150%,造成的损失超过2亿美元。 安全通信与网络防护 7.1 移动网络安全风险 移动设备的网络环境复杂多样,带来了特殊的安全风险: 公共Wi-Fi风险:不安全的公共Wi-Fi容易受到中间人攻击 移动网络漏洞:2G/3G/4G/5G网络可能存在的安全漏洞 未来趋势与展望 移动Web3安全正朝着更先进、更智能的方向发展: 硬件安全增强: 更强大的安全芯片集成 量子安全密码学算法 多设备协同安全 人工智能应用: AI驱动的异常检测 智能威胁防护
33410编辑于 2025-11-18 - 来自专栏IMWeb前端团队
从零开始学web安全(2)
第2类我们称为黑名单,即:厂商会构建一个有危害的HTML标签、属性列表,然后通过分析用户提交的HTML代码,剔除其中有害的部分。 我们博客的评论框我测试了一下,应该是黑名单过滤的。 情况2非常容易验证,直接提交一个正常的a链接就完了~测试发现推断1是正确的,推断2是错的。但是当时推断2给了一个nice的新想法。直接提交a标签不行,但是在svg里一样可以嵌套a标签啊! 总结 尝试的时候确实了解了很多的东西,开发的时候很多东西可能确实自己也没有注意到,很大程度都是因为安全意识不足。 这次简单的hack让我尝试了不少好玩的东西~~ 下期继续学习web安全~ 继续向@sogili 乌云@心伤的瘦子 学习~ 继续xss~
1.3K60发布于 2018-01-08 - 来自专栏AI SPPECH
015_Web3浏览器安全:Web3扩展与浏览器安全防护全指南
会话劫持:攻击者可能劫持用户的Web3会话 权限滥用:扩展可能请求过多不必要的权限 供应链攻击:依赖库和框架可能存在安全漏洞 跨站脚本攻击(XSS):针对DApp的XSS攻击 2. Web3扩展安全 3.1 常见Web3扩展及其安全风险 Web3浏览器扩展是用户与区块链交互的主要工具,但也带来了安全风险: 扩展名称 主要功能 潜在安全风险 MetaMask 以太坊钱包、DApp交互 Crypto API提供了强大的密码学功能: 哈希函数:SHA-256、SHA-3等 对称加密:AES-GCM、AES-CBC等 非对称加密:RSA-OAEP、ECDSA等 密钥派生:PBKDF2、HKDF 8.3 AI驱动的浏览器安全 AI技术正在革新Web3浏览器安全: 实时威胁检测:使用机器学习识别恶意行为 异常交易分析:检测可疑的交易模式 智能钓鱼防护:自动识别钓鱼网站 个性化安全策略:根据用户行为调整安全设置 安全扩展与工具推荐 9.1 安全审计工具 Web3浏览器安全审计工具帮助用户检查安全风险: Web3Sec:专门针对Web3应用的安全审计工具 MetaMask Defender:监控MetaMask安全状态
52210编辑于 2025-11-17 - 来自专栏IMWeb前端团队
从零开始学web安全(2)
第2类我们称为黑名单,即:厂商会构建一个有危害的HTML标签、属性列表,然后通过分析用户提交的HTML代码,剔除其中有害的部分。 我们博客的评论框我测试了一下,应该是黑名单过滤的。 情况2非常容易验证,直接提交一个正常的a链接就完了~测试发现推断1是正确的,推断2是错的。但是当时推断2给了一个nice的新想法。直接提交a标签不行,但是在svg里一样可以嵌套a标签啊! 总结 尝试的时候确实了解了很多的东西,开发的时候很多东西可能确实自己也没有注意到,很大程度都是因为安全意识不足。这次简单的hack让我尝试了不少好玩的东西~~
70730发布于 2019-12-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号