关于加强保护网站安全的想法–引于IDF博文

  安全运用背景一:

  1.如果你的网站只是面向特定用户即用户量很少的,建议给首页加一个口令验证,使用session验证。如果验证未通过,则网站的所有页面都访问不了。当没有输入正确的密码和验证码的时候,直接访问其他页面文件,就会提示"访问者无权访问,并跳转到首页输入口令验证身份。"

  分析1:

  这样处理可以防止那种使用目录爆破工具猜测网站目录,保证了站点目录的安全性。

  安全运用背景二:

  2.大家都知道有的软件可以暴力破解后台账号和密码,比如burp。但是网站加了验证码暴力破解就比较困难了,但是有的软件可以暴力验证码。此时我们可以用一个很巧妙的"诱骗手段",提示有验证码,但是我们的后台并非就是采用的这个验证码做验证,我们可以采用这个验证码的一部分,或者用这个验证码进行特定计算后的值来判定是否验证通过。这样的话别人再怎么暴力破解恐怕也白搭了!!

  分析2:

  尽管你多么多么费力的找来各种字典,验证码只是一个浮云,或者并非你想的那样简单的验证,这么恨的招,一般人想得到吗??

  安全运用背景三:

  3.关于后台,网站的重中之重的,很多的攻击都要基于后台完成,找不到后台,对一个站点的安全性提高来说太重要了;正如BTCF竞赛官方平台里把目录进行32位MD5加密,这样对于brup这样的暴力破解找目录软件来说那简直是噩耗啊!!!

  分析3:

  好狠的大招,-但是也可以做到吧??只要有心,把字典全部MD5加密后来跑吧,但是目测这个目录的MD5解出来就困难了!!所以这个确实是个大招啊!!

  4.自定义错误页面,不是指默认的404页面,把所有的不存在的页面都转成状态200的页面,让北极熊类的扫描器成为废物。

  分析4:

  扫描工具绝大部分都是基于页面请求返回的状态200 302 404 这样的状态值来判定这个页面是否存在。当页面不存在时,系统会默认跳转到404页面,返回404状态值,所以后台可以把这样的404全部转到202来返回,这样欺骗了扫描软件没办法找到真实的页面;

  5.在较深的目录下,放入假的php asp aspx 的各种大马,让入侵者好不容易找到了一个大马,用字典去爆破,让他万万没想到的却是这个永远也无法破解成功。

  分析5:

  这个好伤人感情的说,好让人尴尬的说!!绝大部分人都想不到居然这根本就是一个虚假的木马!

  6.放入虚假的rar .zip  .gz 等压缩文件,小到几十M 大的可以是几百M的,里面全是电影。视频。或者其他网站的源程序。这些东西让那些入侵者慢慢去研究吧!!

  分析6:

  当入侵者拿到这些文件打开后,确实很无语,很无奈啊!!但是别忘记了 最近没多久爆出来的<利用Google爬虫DDoS任意网站>,所以说呢。。这个还是有风险的哟!!

  说明: 学习参照来自于IDF实验室微博上文章!!!感觉很有用,摘录下来学习学习!!!

 

发表评论

邮箱地址不会被公开。 必填项已用*标注