上传漏洞、登陆页暴力破解的危害性比较大,因为一旦成功,便等于获得了写文件或更改网站配置的权限,从而方便进一步提权,

下面是针对这两种威胁的防范手段:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
上传漏洞
==============================================================================================================
*   “文件上传漏洞”,包括但不限于
    -   http请求头MIME欺骗、
    -   文件名或目录名%00截断上传、
    -   双文件上传、
    -   浏览器路径解析漏洞、
    -   图片一句话木马+文件包含、
    -   未授权直接自构表单上传
 
*   文件上传防御方案:
    -   1.客户端检测,使用JS对上传图片检测,包括文件大小、文件类型等
    -   2.服务端检测,对文件大小、文件路径、文件扩展名、文件类型、文件内容检测,对文件重命名
    -   3.其他限制,服务器端上传目录设置不可执行权限
 
 
 
 
 
 
 
 
防止登录页暴力破解
===============================================================================================================
*   验证码或令牌验证(在检查用户名、密码之前优先检查验证码,服务端限制验证码不为空、每验证一次就清空session的验证码信息)。
*   登录失败次数限制。一定时间内登录失败多少次就封号,就算接下来猜对了密码也提示用户名或密码失败。
*   ip或代理黑名单。
*   提示信息,无论用户名正确与否,总是提示用户名或密码错误。

  

posted @ 2016-09-06 12:02 6ruce 阅读(394) 评论(0) 推荐(0) 编辑
摘要: 从OWASP的官网意译过来,加上自己的理解,算是比较全面的介绍。有兴趣的可私下交流。 附带xss攻击平台的搭建方法 xsser.me 攻击平台 * 参考 https://hack0nair.me/2014-09-20-how-to-setup-a-xss-platform/ - 解压后注意给予apa 阅读全文
posted @ 2016-09-06 11:53 6ruce 阅读(11046) 评论(0) 推荐(2) 编辑
摘要: 查阅大量资料后,列出的常见代码审计漏洞。 阅读全文
posted @ 2016-09-06 11:44 6ruce 阅读(524) 评论(0) 推荐(0) 编辑
摘要: 基本的sql注入防御手段,概括来讲就是权限控制和关键词过滤。 阅读全文
posted @ 2016-09-06 11:18 6ruce 阅读(410) 评论(0) 推荐(0) 编辑
摘要: 工具的灵活性肯定比不上人,在手工探测的基础上再去自定义工具,才是正道。 阅读全文
posted @ 2016-09-06 11:09 6ruce 阅读(421) 评论(0) 推荐(0) 编辑
摘要: 无需页面报错,根据页面响应时间做判断! 阅读全文
posted @ 2016-09-06 11:05 6ruce 阅读(1694) 评论(0) 推荐(0) 编辑
摘要: 报错是如何转为xss的? 阅读全文
posted @ 2016-09-06 10:59 6ruce 阅读(621) 评论(0) 推荐(0) 编辑
摘要: 那些容易被忽略、容易被弄错的地方 阅读全文
posted @ 2016-09-06 10:17 6ruce 阅读(1458) 评论(0) 推荐(0) 编辑
摘要: MHA 如何工作的? 阅读全文
posted @ 2016-09-06 10:03 6ruce 阅读(1210) 评论(0) 推荐(1) 编辑
摘要: * MHA的整个故障(离线)切换过程 - 检测主库的状态,确认是否崩溃。 - 确认服务崩溃,保存binlog,推送到主控机,并可以强制关闭主库避免脑裂。 - 找出数据最新的从库(也就是read_master_log_pos最大的),确定下新主库。 - 从最新从库上生成差异的relaylog,再加上未 阅读全文
posted @ 2016-09-06 09:59 6ruce 阅读(1584) 评论(0) 推荐(1) 编辑
点击右上角即可分享
微信分享提示