① 怎樣阻擋非法網頁
360安全衛士 v3.5
http://soft.studa.com/downinfo/26641.html
360安全衛士是免費的,可以在線升級.在清除惡意插件或流氓軟體方面有奇效.特
別是解決IE首頁方面 很有效.100%成功.我上網時不幸中招時,往往就用它們來解
決.你不妨一試!
瑞星卡卡安全助手 V4.0
http://tool.ikaka.com
另:眼不見心不煩 讓廣告遠離你的視線
有沒發現你的電腦越用越慢?而且時不時還彈出一些煩人的廣告?那麼,你可
能中了廣告軟體的毒了。這種廣告軟體即使是用 Notorn 或 Pccillin 都無法
偵測得到。為此筆者在這里介紹一款十分強的廣告軟體專殺軟體——Ad-Aware
SE。
AD-aware 是一個很小的系統安全工具,它可以掃描你計算機中的網站所發送進來的廣告跟蹤文件和相關文件,並且能夠安全地將它們刪除掉。使你不會因為它們而泄露自己的隱私和數據。能夠搜索並刪除的廣告服務程序包括: Web3000、Gator、Cydoor、Radiate/Aureate、Flyswat、Concent/TimeSink 和CometCursor。該軟體的掃描速度相當快,能夠生成詳細的報告,並且可在眨眼間把它們都刪除掉。
強大廣告專殺 Ad-Aware SE 2007 7.0.1.2
http://www.mydown.com/soft/network/netassistant/31/409531.shtml
② 在web.xml中如何實現防止用戶非法登錄,就是在不經過正常的流程而直接登錄某個頁面的種種情況,請高手指點
告訴你一個思路,你可以在web.xml下配置你的controller路徑,例如/admin/xxx.do,然後使用攔截器,獲取請求路徑,如果是/admin那麼判斷許可權,是否可以進去,如果可以判斷請求來自的路徑是不是本站路徑,如果不是就是盜鏈,攔截請求;
還有,除了登陸頁面,其他的頁面放入WEB-INF,這樣別人通過你的轉發,直接重定向是訪問不到的;其實還有很多方法,只提供了一個思路,你自己再想想;
③ 如何防止web伺服器主頁被非法修改
(1)給正常文件一個通行證;
將正常的程序文件數量、名稱記錄下來,並保存每一個正常文件的MD5散列做成數字簽名存入資料庫;如果當遇到黑客攻擊修改主頁、掛馬、提交webshell的時候,由於這些文件被修改過或者是新提交的,沒有在資料庫中存在,則將其刪除或者恢復以達到防護效果;
(2)檢測和防護SQL注入攻擊;
通過過濾SQL危險字元如:「』、select、where、insert、,、;」等等將其進行無害化編碼或者轉碼,從源頭遏止;對提交到web伺服器的數據報進行過濾檢測是否含有「eval、wscript.shell、iframe」等等;
(3)檢測和防護DNS攻擊解析;
不斷在本地通過nslookup解析域名以監視域名的指向是否合法;
(4)檢測和防護ARP攻擊;
綁定MAC地址,檢測ARP攻擊並過濾掉危險的ARP數據報;
(5)過濾對WEB伺服器的請求;
設置訪問控制列表,設置IP黑名單和白名單過濾掉非法訪問後台的IP;對web伺服器文件的請求進行文件預解析,對比解析的文件與原文件差異,存在差異的取源文件返回請求;
(6)做好集群或者資料庫加密;
對於NT系統設置好文件夾許可權,控制因操作失誤所帶來的損失;對於SQL 2005可以設置管理IP和資料庫加密,切斷資料庫篡改的源頭;
(7)加強培訓;
加強安全意識培訓,操作合理化培訓,從程序自身的源頭遏制,從管理員自身的源頭遏制。
摘自天下數據官網!!天下數據--專業運營香港伺服器、韓國伺服器、美國伺服器等等海外優質伺服器!
④ 如何在Web項目中保護JSP源代碼不被未經授權的訪問和窺視
LZ你說的這個問題也是現在Java EE系統中的一個安全問題。。。假如你的系統技術架構是以前的純粹JSP的哈,這個問題就很麻煩,經常會被下載JSP文件。 現在都有很好的MVC框架:比如Struts、Struts2、Taperstry、Webwork等等,他們就很好地解決了文件被下載的問題,他們把所有的請求都要經過伺服器端Action的處理,然後跳轉,基本所有都會使用請求轉發的形式,那麼這樣我們的URL路徑就不會是JSP的絕對位置了。。。客戶端的用戶也就難於找到你的路徑,而且你的項目可以根據你的意願去後台設置你的JSP的路徑。。。
⑤ 如何防止web攻擊
SQL注入攻擊(SQL Injection)
攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的字元串,欺騙伺服器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。
常見的SQL注入式攻擊過程類如:
1.某個Web應用有一個登錄頁面,這個登錄頁面控制著用戶是否有權訪問應用,它要求用戶輸入一個名稱和密碼;
2.登錄頁面中輸入的內容將直接用來構造動態的SQL命令,或者直接用作存儲過程的參數;
例如:
$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
3.攻擊者在用戶名字和密碼輸入框中輸入'或'1'='1之類的內容;
4.用戶輸入的內容提交給伺服器之後,伺服器運行上面的代碼構造出查詢用戶的SQL命令,但由於攻擊者輸入的內容非常特殊,所以最後得到的SQL命令變成:
SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';
5.伺服器執行查詢或存儲過程,將用戶輸入的身份信息和伺服器中保存的身份信息進行對比;
6.由於SQL命令實際上已被注入式攻擊修改,已經不能真正驗證用戶身份,所以系統會錯誤地授權給攻擊者。
如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢,他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能,欺騙系統授予訪問許可權。
系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問資料庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權,攻擊者就可能對資料庫的表執行各種他想要做的操作,包括添加、刪除或更新數據,甚至可能直接刪除表
防範方法:
1.檢查變數數據類型和格式
2.過濾特殊符號
3.綁定變數,使用預編譯語句
跨網站腳本攻擊(Cross Site scripting, XSS)
攻擊者將惡意代碼注入到網頁上,其他用戶在載入網頁時就會執行代碼,攻擊者可能得到包括但不限於更高的許可權(如執行一些操作)、私密網頁內容、會話和cookie等各種內容。這些惡意代碼通常是javascript、HTML以及其他客戶端腳本語言。
例如:
<?php
echo "歡迎您,".$_GET['name'];
常用的攻擊手段有:
盜用cookie,獲取敏感信息;
利用iframe、frame、xmlHttpRequest或上述Flash等方式,以(被攻擊)用戶的身份執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作;
利用可被攻擊的域受到其他域信任的特點,以受信任來源的身份請求一些平時不允許的操作,如進行不當的投票活動;
在訪問量極大的一些頁面上的XSS可以攻擊一些小型網站,實現DDoS攻擊的效果。
防範方法:使用htmlspecialchars函數將特殊字元轉換成HTML編碼,過濾輸出的變數
跨網站請求偽造攻擊(Cross Site Request Forgeries, CSRF)
攻擊者偽造目標用戶的HTTP請求,然後此請求發送到有CSRF漏洞的網站,網站執行此請求後,引發跨站請求偽造攻擊。攻擊者利用隱蔽的HTTP連接,讓目標用戶在不注意的情況下單擊這個鏈接,由於是用戶自己點擊的,而他又是合法用戶擁有合法許可權,所以目標用戶能夠在網站內執行特定的HTTP鏈接,從而達到攻擊者的目的。
它與XSS的攻擊方法不同,XSS利用漏洞影響站點內的用戶,攻擊目標是同一站點內的用戶者,而CSRF 通過偽裝成受害用戶發送惡意請求來影響Web系統中受害用戶的利益。
例如:
某個購物網站購買商品時,採用shop.com/buy.php?item=watch&num=100
item參數確定要購買什麼物品,num參數確定要購買數量,如果攻擊者以隱藏的方式發送給目標用戶鏈接那麼如果目標用戶不小心訪問以後,購買的數量就成了100個
防範方法:
1、檢查網頁的來源
2、檢查內置的隱藏變數
3、使用POST,不要使用GET,處理變數也不要直接使用$_REQUEST
Session固定攻擊(Session Fixation)
這種攻擊方式的核心要點就是讓合法用戶使用攻擊者預先設定的session id來訪問被攻擊的應用程序,一旦用戶的會話ID被成功固定,攻擊者就可以通過此session id來冒充用戶訪問應用程序。
例如:
1.攻擊者訪問網站bank.com,獲取他自己的session id,如:SID=123;
2.攻擊者給目標用戶發送鏈接,並帶上自己的session id,如:bank.com/?SID=123;
3.目標用戶點擊了bank.com/?SID=123,像往常一樣,輸入自己的用戶名、密碼登錄到網站;
4.由於伺服器的session id不改變,現在攻擊者點擊bank.com/?SID=123,他就擁有了目標用戶的身份,可以為所欲為了。
防範方法:
1.定期更改session id
session_regenerate_id(TRUE);//刪除舊的session文件,每次都會產生一個新的session id。默認false,保留舊的session
2.更改session的名稱
session的默認名稱是PHPSESSID,此變數會保存在cookie中,如果攻擊者不抓包分析,就不能猜到這個名稱,阻擋部分攻擊[code]session_name("mysessionid");
復制代碼
3.關閉透明化session id
透明化session id指當瀏覽器中的http請求沒有使用cookie來制定session id時,sessioin id使用鏈接來傳遞
int_set("session.use_trans_sid", 0);
復制代碼
4.只從cookie檢查session id
int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id
復制代碼
5.使用URL傳遞隱藏參數
$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻擊者雖然能獲取session數據,但是無法得知$sid的值,只要檢查sid的值,就可以確認當前頁面是否是web程序自己調用的
Session劫持攻擊(Session Hijacking)
會話劫持是指攻擊者利用各種手段來獲取目標用戶的session id。一旦獲取到session id,那麼攻擊者可以利用目標用戶的身份來登錄網站,獲取目標用戶的操作許可權。
攻擊者獲取目標用戶session id的方法:
1.暴力破解:嘗試各種session id,直到破解為止;
2.計算:如果session id使用非隨機的方式產生,那麼就有可能計算出來;
3.竊取:使用網路截獲,xss攻擊等方法獲得
防範方法:
1.定期更改session id
2.更改session的名稱
3.關閉透明化session id
4.設置HttpOnly。通過設置Cookie的HttpOnly為true,可以防止客戶端腳本訪問這個Cookie,從而有效的防止XSS攻擊。
文件上傳漏洞攻擊(File Upload Attack)
文件上傳漏洞指攻擊者利用程序缺陷繞過系統對文件的驗證與處理策略將惡意代碼上傳到伺服器並獲得執行伺服器端命令的能力。
常用的攻擊手段有:
上傳Web腳本代碼,Web容器解釋執行上傳的惡意腳本;
上傳Flash跨域策略文件crossdomain.xml,修改訪問許可權(其他策略文件利用方式類似);
上傳病毒、木馬文件,誘騙用戶和管理員下載執行;
上傳包含腳本的圖片,某些瀏覽器的低級版本會執行該腳本,用於釣魚和欺詐。
總的來說,利用的上傳文件要麼具備可執行能力(惡意代碼),要麼具備影響伺服器行為的能力(配置文件)。
防範方法:
1.文件上傳的目錄設置為不可執行;
2.判斷文件類型,設置白名單。對於圖片的處理,可以使用壓縮函數或者resize函數,在處理圖片的同時破壞圖片中可能包含的HTML代碼;
3.使用隨機數改寫文件名和文件路徑:一個是上傳後無法訪問;再來就是像shell.php.rar.rar和crossdomain.xml這種文件,都將因為重命名而無法攻擊;
4.單獨設置文件伺服器的域名:由於瀏覽器同源策略的關系,一系列客戶端攻擊將失效,比如上傳crossdomain.xml、上傳包含javascript的XSS利用等問題將得到解決。
⑥ web伺服器,屢次遭黑客非法登錄,非法建賬戶,怎麼可以避免(懂得回復,我在線可以HI我)
1 、 3389 埠 你 要改 。 不會 請網路。
2 、 埠 要有固定開那麼幾個 80、3306 等
3、 改 許可權 網站許可權 可讀不可寫 等 具體 你網路。
4、 刪除不安全組件。 不讓黑客提權。
5 、及時 更新伺服器 漏洞。
6 、裝上 掃 網頁木馬的 軟體
7 、 自己 攻擊下 伺服器下的 網站 試試。
如果還不會。 60 元 可以 幫你做 。 +40 全程 可以 錄像 以供 您來學習。 支持 支付寶 交易。 over .
⑦ 如何限制非法網頁對我的webservice的訪問
你可以啟用session驗證, [WebMethod(EnableSession = true)],然後給在你網站加session的判斷
⑧ 如何防護web 網站一些安全問題,例如 跨站點請求偽造,跨站點腳本編制之類的.
定義一個常量,然後再驗證。