`
duobin3000
  • 浏览: 102452 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

低成本的网站安全解决方案

阅读更多

安全方案
1.1 代码级安全控制
1.1.1 防止SQL注入
应对方式:
? 参数不采用SQL拼凑的方式,而采用占位符”?”方式
? 对特殊词条进行过滤
备注:安全起见,删除DB的无用的用户及存储过程
1.1.2 防止跨站点脚本攻击
应对方式:
? 检查所有产生动态网页的代码
? 判定动态网页的内容是否包含不安全的输入消息
? 对输入进行校验
? 对输入的编码以过滤特殊字符
? 设置HTTP协议头信息:HttpOnly Cookie----深层防护
举例:<;<%;<Script;cookie以及非字符串类型的数据—像日期,整数,货币等;
1.1.3 防止通过异常报错提示,获取攻击信息
防止产生SQL异常,暴露出DB的元数据信息:如表明,字段等信息;同时解决404,500,503等异常。
应对方式:
? 定义统一的异常处理框架
DB层异常,抛到业务层,业务层异常抛到action层,有action层统一对异常进行包装,杜绝到处抛异常;通过e.printStackTrace();的方式,将整个堆栈的错误内容打印到客户端
? 针对HTTP协议错误码,定义404等错误页面---web.xml中定义即可
1.1.4 服务器端验证用户提交数据
1.1.5 对于上传文件
上传文件要控制类型、大小等
1.1.6 Form表单伪造
通过token,或者在session中加一个标记验证
1.2 软件设置控制
1.2.1 防止服务器因攻击宕机
UCP\ICMP数据包洪水攻击、磁盘攻击、路由不可达、分布式拒绝服务(ddos)、缓冲区溢出、攻击者获得管理员权限等都可以让web服务器宕机不可用,这个时候就要合理配置apache等类似web服务器。
应对方式:
1.2.1.1 勤于升级和打补丁
1.2.1.2 隐藏和伪装apache版本:
修改配置文件/etc/httpd.conf。找到关键字ServerSignature,将其设定为:
ServerSignature Off
ServerTokens Prod
然后重新启动Apache服务器
通过分析Web服务器的类型,大致可以推测出操作系统的类型,比如,Windows使用IIS来提供HTTP服务,而Linux中最常见的是Apache。
默认的Apache配置里没有任何信息保护机制,并且允许目录浏览。通过目录浏览,通常可以获得类似“Apache/1.3.27 Server at apache.linuxforum.net Port 80”或“Apache/2.0.49 (Unix) PHP/4.3.8”的信息。
通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来。但是,Red Hat Linux运行的Apache是编译好的程序,提示信息被编译在程序里,要隐藏这些信息需要修改Apache的源代码,然后,重新编译安装程序,以替换里面的提示内容。
以Apache 2.0.50为例,编辑ap_release.h文件,修改“#define AP_SERVER_BASEPRODUCT \"Apache\"”为“#define AP_SERVER_BASEPRODUCT \"Microsoft-IIS/5.0\"”。编辑os/unix/os.h文件,修改“#define PLATFORM \"Unix\"”为“#define PLATFORM \"Win32\"”。修改完毕后,重新编译、安装Apache。
Apache安装完成后,修改httpd.conf配置文件,将“ServerTokens Full”改为“ServerTokens Prod”;将“ServerSignature On”改为“ServerSignature Off”,然后存盘退出。重新启动Apache后,用工具进行扫描,发现提示信息中已经显示操作系统为Windows
1.2.1.3 建立一个安全的目录结构
1.2.1.4 为apache使用专门的用户和用户组
1.2.1.5 配置web目录的访问策略
1. 禁止使用目录索引
2. 禁止默认访问
3. 禁止用户重载
4. Apache服务访问控制:
order deny,allow
deny from all
1.2.1.6 管理apache访问日志
1. 日志轮询方式
2. 访问日志分析
1.2.1.7 保护apache密码
1. 增加新的许可用户
2. 建立.htpasswd文件
3. 实现对.haccess文件的保护
4. 建立允许访问的组
5. 禁止读取文件
1.2.1.8 减少CGI和SSI风险
1.2.1.9 让apache安全稳定运行---- chroot化
1.2.1.10 配置Apache DoS Evasive Maneuvers Module 方式DOS攻击
1.2.1.11 利用LDAP认证apache
1.2.2 Servlet以及JSP的安全性控制
缺省情况下,如果你访问tomcat下的一个web应用,那么如果你输入的是一个目录名,而且该目录下没有一个可用的welcome文件,那么tomcat会将该目录下的所有文件列出来,如果你想屏蔽这个缺省行为,那么可以修改conf/web.xml文件:
<servlet>
<servlet-name>default</servlet-name>
<servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
1.3 网络、操作系统等安全设置
一下对
1.3.1.1 禁止Ping入
1.3.1.2 只提供8080、80、443端口
1.3.1.3 控制用户组,取消对磁盘的写权限,-
防止dll、木马写入提升权限等
1.3.1.4 及时升级操作系统
不间断升级操作系统,打补丁;防止漏洞攻击
1.3.1.5 防钓鱼
系统管理检测网络,举报类似网站等手段
1.3.1.6 网络监控—Snort
采用Snort IDS来有效监控P2P、后门、DDOS、web攻击等
1.3.1.7 调整防火墙策略
1.3.1.8 配置严格的安全防护规则
1.3.1.9 木马、网马、病毒防范
2 未尽事宜
2.1 以上可以避免大部分的网络攻击,还有公司内部的员工攻击
建议完善公司内部的制度,建立非军事化安全体系保障
2.2 在公司经济条件允许的前提下,购买硬件防护
是软件就有bug,就有可能被置入病毒木马等,硬件在提升安全上面更加有效,也更加安全
2.3 注意数据的备份

分享到:
评论

相关推荐

    一种低成本的CCR电池充电解决方案

    总的来说,这种低成本的CCR电池充电解决方案旨在提供一个既安全又经济的充电方法,尤其适合于对成本敏感的便携式电子设备。通过精心设计的电路,可以有效地控制充电过程,确保电池的健康状态,延长电池的使用寿命,...

    针对充电电池的低成本CCR充电解决方案

    本文将深入探讨一种基于恒流稳流器(Constant Current Regulator,简称CCR)的低成本充电解决方案,该方案特别适合镍氢(NiMH)、镍镉(NiCad)和锂离子(Li-ion)这三种常见的充电电池。通过精心设计的电路与控制...

    华为云计算安全解决方案.pdf

    华为云计算安全解决方案 华为云计算安全解决方案是基于云计算技术的安全解决方案,旨在为企业和个人提供安全、可靠、灵活的计算和存储解决方案。该解决方案主要包括端到端解决方案和桌面云解决方案两个部分。 ...

    电源技术中的安森美半导体针对充电电池的低成本CCR充电解决方案

    电源技术在充电电池领域的应用,特别是安森美半导体的低成本恒流稳流器(CCR)充电解决方案,解决了便携式设备如手机、数码相机、音乐播放器等对锂离子电池安全高效充电的需求。安森美半导体的恒流稳流器在充电电路...

    安森美半导体针对充电电池的低成本CCR充电解决方案.pdf

    整个充电解决方案的核心思想是利用低成本的元件,设计出一个稳定、安全的充电电路,并为充电电池提供一个简单的控制器来终止充电。安森美半导体的CCR技术,通过峰值电压的检测,提供了一种简单而有效的充电终止机制...

    罗克韦尔集成安全解决方案.pdf

    罗克韦尔公司,作为自动化和信息解决方案的全球领导者,提供了一系列集成安全解决方案,旨在满足OEM和最终用户在保障安全的同时,提升机器性能、效率以及整体竞争力。在了解罗克韦尔的集成安全解决方案之前,我们...

    基于VMware_View和Virtual SAN的低成本虚拟桌面解决方案.pdf

    【基于VMware View和Virtual SAN的低成本虚拟桌面解决方案】 虚拟桌面基础设施(VDI)是一种将桌面环境集中在数据中心的计算模型,通过提供用户访问虚拟化的个人桌面来提高效率和安全性。VMware View是VMware公司...

    单芯片内容检测处理器提供低成本、智能化的网络安全解决方案.pdf

    综上所述,单芯片内容检测处理器在实现低成本硬件设计的同时,通过集成智能化的算法和技术,为网络安全领域提供了一个高效且经济的解决方案。它不仅能够帮助用户应对日益复杂的网络安全威胁,还能够在动态变化的网络...

    电源技术中的一种低成本的CCR电池充电解决方案

    本文由此提出一种低成本的CCR电池充电解决方案,方案中给出了将恒流稳流器(CCR)用于可充电电池的低成本充电电路,为其提供了终止充电的简单控制器。  1 电池种类及充电技术选择  三种最常见的充电电池分别...

    飞思卡尔arm内核低功耗芯片,低成本BLDC驱动的解决方案芯片

    标题和描述中提到的“飞思卡尔arm内核低功耗芯片,低成本BLDC驱动的解决方案芯片”指的是飞思卡尔(现NXP)半导体公司生产的基于ARM Cortex-M0+内核的微控制器芯片,这些芯片具有低功耗特性,并能提供对无刷直流电机...

    H3C校园网安全加固解决方案

    该解决方案通过用户行为协同管控、核心/出口用户行为管控和用户安全执行中心三个部分,提供了一整套的安全解决方案。 关键词一:用户行为校园网安全问题 * 数字校园的安全问题在上升态势,存在着各种网络信息安全...

    华为云计算解决方案.doc

    其次,华为桌面云解决方案,即SingleCLOUD,是一个安全的“1个平台+N种应用”解决方案。SingleCLOUD云平台实现了软件与硬件的解耦,支持大规模计算和存储,并通过自动化管控降低了运维成本。该平台不仅可用于构建...

    虚拟化与云安全解决方案V1.pptx

    虚拟化与云安全解决方案 以下是根据给定文件信息生成的相关知识点: 1. 虚拟化与云安全解决方案概述 虚拟化和云安全解决方案是当前IT行业的热点话题。随着云计算和软件定义网络(SDN)的发展,企业需要更好的安全...

    酒店监控解决方案.pdf

    该解决方案具有架构合理、稳定性和安全性、产品主流、低成本、低维护量等特点。 一、系统概述 酒店监控解决方案是闭路电视监控系统的重要组成部分,旨在提供高效、安全、可靠的监控解决方案。该解决方案具有架构...

    5GtoB专网解决方案.pdf

    * 低成本:5GtoB专网解决方案提供了低成本的网络体验,降低了企业的网络支出。 * 高可靠性:5GtoB专网解决方案提供了高可靠性的网络体验,确保了企业的网络安全。 5GtoB专网解决方案的应用场景 * 工业制造业:5...

    信息安全解决方案.docx

    【文档标题】:“信息安全解决方案” 【文档描述】:文件提供...综上所述,信息安全解决方案的构建是一个多层面、多层次的过程,需要兼顾技术、管理、成本和效能,确保网络在提供服务的同时,能够有效地抵御各种威胁。

    UPS监控解决方案机房监控解决方案

    通过这样的监控解决方案,可以跨地域、跨机房进行集中管理,降低维护成本,提高运维效率。同时,实时数据的收集和分析有助于预测性维护,减少意外停机时间,确保机房的高可用性和可靠性。在实施监控解决方案时,合理...

Global site tag (gtag.js) - Google Analytics