随笔分类 - 安全
摘要:这个就是假如以后公司需要搭建团队的话,需要具备的一些服务架构组件,一直在更新,欢迎大家在评论区给我留言哈,我也要学习 ModSecurity 安全机制 http://www.modsecurity.cn/ https://zhuanlan.zhihu.com/p/80866123 Jumpserve
阅读全文
摘要:使用OpenSSL那么需要先了解一下http://www.cnblogs.com/wt645631686/p/8390936.html
阅读全文
摘要:php服务端与客户端交互、提供开放api时,通常需要对敏感的部分api数据传输进行数据加密,这时候rsa非对称加密就能派上用处了,下面通过一个例子来说明如何用php来实现数据的加密解密 先了解一下关于公钥私钥加解密的作用 一、公钥加密 假设一下,我找了两个数字,一个是1,一个是2。我把2保留起来,不
阅读全文
摘要:隐藏Apache版本号 在apache配置文件httpd.conf中,加入以下代码 隐藏Nginx版本号 在nginx的配置文件nginx.conf 文件里的http内部,加入以下代码 隐藏PHP版本号 在PHP的配置文件php.ini 文件里找到配置项,expose_php,改为off 改好了之后
阅读全文
摘要:Nginx提供HTTP的Basic Auth功能,配置了Basic Auth之后,需要输入正确的用户名和密码之后才能正确的访问网站。 我们使用htpasswd来生成密码信息,首先要安装httpd-tools,在httpd-tools中包含了htpasswd命令。需要依赖一个工具,先检查一下系统是否已
阅读全文
摘要:基于IP的访问控制,基于Nginx的http_access_module模块,是Nginx本身内置的模块,不需要安装的时候配置。也就是允许哪些IP访问,不允许哪些IP访问 Nginx基于access_module有局限性 原理:基于客户端的IP,但是对于Nginx来说,它不会管你哪个是真正的客户端,
阅读全文
摘要:算法/模式/填充 16字节加密后数据长度 不满16字节加密后长度AES/CBC/NoPadding 16 不支持AES/CBC/PKCS5Padding 32 16AES/CBC/ISO10126Padding 32 16AES/CFB/NoPadding 16 原始数据长度AES/CFB/PKCS
阅读全文
摘要:1:使用预处理语句防止SQL注入2:写入数据库的数据要进行特殊字符的转义,比如字符中带单引号和双引号需要在应用层转义,这样为了防止SQL注入3:查询的错误信息不要返回给用户,将错误记录到日志。错误信息不要显示到应用中,这样用户会获取到数据库信息,这样就是不安全,我们要把错误屏蔽,定期排查错误看日志就
阅读全文
摘要:PHP防止XSS跨站脚本攻击的方法:是针对非法的HTML代码包括单双引号等,使用htmlspecialchars()函数 。 在使用htmlspecialchars()函数的时候注意第二个参数, 直接用htmlspecialchars($string) 的话,第二个参数默认是ENT_COMPAT,函
阅读全文
摘要:利用Mysqli和PDO 产生原因 主要就是一些数据没有经过严格的验证,然后直接拼接 SQL 去查询。导致漏洞产生,比如: 因为没有对 $_GET['id'] 做数据类型验证,注入者可提交任何类型的数据,比如 " and 1= 1 or " 等不安全的数据。如果按照下面方式写,就安全一些。 把 id
阅读全文
