‘壹’ 如何保证手机端的app访问web服务器的安全
手机有自带安全管家,也可以下载第三方软件监控
‘贰’ 如何实现一个安全的Web登陆
对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web 系统在发送登录密码时是发送的明文,这样很容易被入侵者监听到密码。当然,通过 SSL
来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 SSL 的 Web 服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 SSL
的 Web 服务器上实现安全登录。
要实现安全登录,可以采用下面三种方法,一种基于非对称加密算法,一种基于对称加密算法,最后一种基于散列算法。
非对称加密算法中,目前最常用的是 RSA 算法和
ECC(椭圆曲线加密)算法。要采用非对称加密算法实现安全登录的话,首先需要在客户端向服务器端请求登录页面时,服务器生成公钥和私钥,然后将公钥随登录页面一起传递给客户端浏览器,当用户输入完用户名密码点击登录时,登录页面中的
JavaScript
调用非对称加密算法对用户名和密码用用公钥进行加密。然后再提交到服务器端,服务器端利用私钥进行解密,再跟数据库中的用户名密码进行比较,如果一致,则登录成功,否则登录失败。
对称加密算法比非对称加密算法要快得多,但是对称加密算法需要数据发送方和接受方共用一个密钥,密钥是不能通过不安全的网络直接传递的,否则密钥和加密以后的数据如果同时监听到的话,入侵者就可以直接利用监听到的密钥来对加密后的信息进行解密了。
如何用 hmac
算法实现安全登录。首先在客户端向服务器端请求登录页面时,服务器端生成一个随机字符串,连同登录页面一同发送给客户端浏览器,当用户输入完用户名密码后,将密码采用
MD5 或者 SHA1 来生成散列值作为密钥,服务器端发送来的随机字符串作为消息数据,进行 hmac
运算。然后将结果提交给服务器。之所以要对用户输入的密码进行散列后再作为密钥,而不是直接作为密钥,是为了保证密钥足够长,而又不会太长。服务器端接受到客户端提交的数据后,将保存在服务器端的随机字符串和用户密码进行相同的运算,然后进行比较,如果结果一致,则认为登录成功,否则登录失败。当然如果不用
hmac 算法,直接将密码和服务器端生成的随机数合并以后再做 MD5 或者 SHA1,应该也是可以的。
这里客户端每次请求时服务器端发送的随机字符串都是不同的,因此即使入侵者监听到了这个随机字符串和加密后的提交的数据,它也无法再次提交相同的数据通过验证。而且通过监听到的数据也无法计算出密钥,所以也就无法伪造登录信息了。
对称和非对称加密算法不仅适用于登录验证,还适合用于最初的密码设置和以后密码修改的过程中,而散列算法仅适用于登录验证。但是散列算法要比对称和非对称加密算法效率高。
‘叁’ 如何保证Web服务器安全
不但企业的门户网站被篡改、资料被窃取,而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作肉鸡,来传播病毒、恶意插件、木马等等。笔者认为,这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全,笔者认为,Web安全要主动出击。具体的来说,需要做到如下几点。一、在代码编写时就要进行漏洞测试 现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的,是通过代码堆积起来的。如果这个代码只供企业内部使用,那么不会带来多大的安全隐患。但是如果放在互联网上使用的话,则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入sql代码。而攻击者就可以利用这些SQL代码来发动攻击,来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时,其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。 为此在为网站某个特定功能编写代码时,就要主动出击。从编码的设计到编写、到测试,都需要认识到是否存在着安全的漏洞。笔者在日常过程中,在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关,就可以提高代码编写的安全性。二、对Web服务器进行持续的监控 冰冻三尺、非一日之寒。这就好像人生病一样,都有一个过程。病毒、木马等等在攻击Web服务器时,也需要一个过程。或者说,在攻击取得成功之前,他们会有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器,从攻击开始到取得成果,至少要有半天的时间。如果Web管理员对服务器进行了全天候的监控。在发现有异常行为时,及早的采取措施,将病毒与木马阻挡在门户之外。这种主动出击的方式,就可以大大的提高Web服务器的安全性。 笔者现在维护的Web服务器有好几十个。现在专门有一个小组,来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99%以上的攻击行为,由于服务器已经采取了对应的安全措施,都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞,或者采取了新的攻击方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为,那么他们就很有可能最终实现他们的非法目的。相反,现在及早的发现了他们的攻击手段,那么我们就可以在他们采取进一步行动之前,就在服务器上关掉这扇门,补上这个漏洞。 笔者在这里也建议,企业用户在选择互联网Web服务器提供商的时候,除了考虑性能等因素之外,还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击,及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前,就他们消除在萌芽状态。 三、设置蜜罐,将攻击者引向错误的方向 在军队中,有时候会给军人一些伪装,让敌人分不清真伪。其实在跟病毒、木马打交道时,本身就是一场无硝烟的战争。为此对于Web服务器采取一些伪装,也能够将攻击者引向错误的方向。等到供给者发现自己的目标错误时,管理员已经锁定了攻击者,从而可以及早的采取相应的措施。笔者有时候将这种主动出击的行为叫做蜜罐效应。简单的说,就是设置两个服务器。其中一个是真正的服务器,另外一个是蜜罐。现在需要做的是,如何将真正的服务器伪装起来,而将蜜罐推向公众。让攻击者认为蜜罐服务器才是真正的服务器。要做到这一点的话,可能需要从如下几个方面出发。 一是有真有假,难以区分。如果要瞒过攻击者的眼睛,那么蜜罐服务器就不能够做的太假。笔者在做蜜罐服务器的时候,80%以上的内容都是跟真的服务器相同的。只有一些比较机密的信息没有防治在蜜罐服务器上。而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。这不但可以提高蜜罐服务器的真实性,而且也可以用来评估真实服务器的安全性。一举两得。 二是需要有意无意的将攻击者引向蜜罐服务器。攻击者在判断一个Web服务器是否值得攻击时,会进行评估。如评估这个网站的流量是否比较高。如果网站的流量不高,那么即使被攻破了,也没有多大的实用价值。攻击者如果没有有利可图的话,不会花这么大的精力在这个网站服务器上面。如果要将攻击者引向这个蜜罐服务器的话,那么就需要提高这个蜜罐服务器的访问量。其实要做到这一点也非常的容易。现在有很多用来交互流量的团队。只要花一点比较小的投资就可以做到这一点。 三是可以故意开一些后门让攻击者来钻。作为Web服务器的管理者,不仅关心自己的服务器是否安全,还要知道自己的服务器有没有被人家盯上。或者说,有没有被攻击的价值。此时管理者就需要知道,自己的服务器一天被攻击了多少次。如果攻击的频率比较高,管理者就高兴、又忧虑。高兴的是自己的服务器价值还蛮大的,被这么多人惦记着。忧虑的是自己的服务器成为了众人攻击的目标。就应该抽取更多的力量来关注服务器的安全。四、专人对Web服务器的安全性进行测试 俗话说,靠人不如靠自己。在Web服务器的攻防战上,这一个原则也适用。笔者建议,如果企业对于Web服务的安全比较高,如网站服务器上有电子商务交易平台,此时最好设置一个专业的团队。他们充当攻击者的角色,对服务器进行安全性的测试。这个专业团队主要执行如下几个任务。 一是测试Web管理团队对攻击行为的反应速度。如可以采用一些现在比较流行的攻击手段,对自己的Web服务器发动攻击。当然这个时间是随机的。预先Web管理团队并不知道。现在要评估的是,Web管理团队在多少时间之内能够发现这种攻击的行为。这也是考验管理团队全天候跟踪的能力。一般来说,这个时间越短越好。应该将这个时间控制在可控的范围之内。即使攻击最后没有成功,Web管理团队也应该及早的发现攻击的行为。毕竟有没有发现、与最终有没有取得成功,是两个不同的概念。 二是要测试服务器的漏洞是否有补上。毕竟大部分的攻击行为,都是针对服务器现有的漏洞所产生的。现在这个专业团队要做的就是,这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。有时候我们都没有发现的漏洞是无能为力,但是对于这些已经存在的漏洞不能够放过。否则的话,也太便宜那些攻击者了。
‘肆’ web服务器可能存在的安全问题有哪些
1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)专、网属络端口管理等,这个是基础。
2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4、WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
‘伍’ 如何保障Web服务器安全
今天壹基比小喻给大家讲解一些对服务器的安全保护的具体措施,希望大家可以用到。
1从基础做起,做好基础防护。
首先将服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的。其次不论是Windows还是Linux,任何操作系统都有漏洞,及时的打上补丁避免漏洞被蓄意***利用,是服务器安全最重要的保证之一。再次将所有的反病毒软件及时更新,同时在服务器和桌面终端上运行反病毒软件。这些软件还应该配置成每天自动下载最新的病毒数据库文件。可以为Exchange Server安装反病毒软件。这个软件扫描所有流人的电子邮件,寻找被感染了的附件,当它发现有病毒时,会自动将这个被感染的邮件在到达用户以前隔离起来。
2 设置防火墙并关闭不需要的服务和端口。
防火墙是网络安全的一个重要组成部分,通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的***,如IP选项中的源路由***和ICMP重定向中的重定向路径
首先,确保防火墙不会向外界开放超过必要的任何IP地址。至少要让一个IP地址对外被使用来进行所有的互联网通讯。如果还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许需要通过防火墙对外界可见。其次,服务器操作系统在安装时,会启动一些不需要的服务,这样不仅会占用系统的资源,还会增加系统的安全隐患。对于一段时间内完全不会用到的服务,可以完全关闭;对于期间要使用的服务器,也应该关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。例如,TCP/IP端口80用于HTTP通讯,因此大多数人可能并不想堵掉这个端口。但是,一般不会用端口81,因此它应该被关掉。我们可以在Intemet上找到每个端口使用用途的歹U表。对照列表我们可以很清楚的关闭一些不常用的端口。
3 SQL SERVER的安全防护。
首先要使用Windows身份验证模式,在任何可能的时候,都应该对指向SQL Server的连接要求Windows身份验证模式。它通过限制对Microsoft Windows用户和域用户帐户的连接,保护SQL Server免受大部分Intemet工具的侵害,而且,服务器也将从Windows安全增强机制中获益,例如更强的身份验证协议以及强制的密码复杂眭和过期时间。另外,凭证委派在多台服务器间桥接凭证的能力地只能在Windows身份验证模式中使用。在客户端,Windows身份验证模式不再需要存储密码。存储密码是使用标准SQL Server登录的应用程序的主要漏洞之一。其次分配—个强健的sa密码,sa帐户应该拥有一个强健的密码,即使在配置为要求Windows身份验证的服务器上也该如此。这将保证在以后服务器被重新配置为混合模式身份验证时,不会出现空白或脆弱的sa。
4 做好数据的备份并保护好备份磁带。
首先定期对服务器进行备份,为防止未知的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行及时的备份。同时,应该将修改过的重要系统文件存放在不同服务器上,以便出现系统崩溃时(通常是硬盘出错),可以及时地将系统恢复到正常状态。通常情况下,备份工作都是在大约晚上10:00或者更晚开始的,而结束时间也在午夜时分。整个备份过程的时间长短主要取决于要备份数据的多少。但是如果深夜有人偷窃备份好的磁带,这样的时间将是最好的时机。为了避免这样的人为事件,我们可以通过对磁带进行密码保护,对备份程序进行加密,从而加密这些数据。其次,可以将备份程序完成的时间定在第二日的上班时间内。这样一来,可以避免人为盗窃备份磁带所带来的损失。因为磁带在备份没有结束被强行带走的话,磁带上的数据也毫无价值。
数据如此重要,做好安全措施是必不可少的。无论是服务器还是系统,文件还是数据库,都应该做好数据保护。数据备份方面小编推荐大家使用多备份。多备份有3种备份模式给大家选择:托管、插件、客户端。Linux,unix,windows系统的用户可以选择多备份客户端来备份,客户端是高级备份模式,支持防火墙内的备份,TB级数据备份,指定文件恢复等数十种高级功能。而文件和数据库的内容可以选择托管或是插件来备份,操作过程也是简单易懂。备份时间及频率方面更是让用户觉得贴心不过了。
如果你对数据视为宝物,就用多备份吧!
‘陆’ 什么是WEB安全是网络安全么
§1、网站安全概述
一、 常见的网站提供的服务:DNS SERVER,WEB SERVER,E-MAIL SERVER,FTP SERVER,此外网站还需要有个主服务器(最好不要把网站的操作系统服务器与上述的SERVER 放在一起)(不一定全对互联网开放)
1、 这些常见的服务属于TCP/IP协议栈,如果低层安全性被攻击了,则高层安全成了空中楼阁。所以要进行安全分析(安全只是个动态的状态)
2、 TCP/IP协议栈各层常见的攻击(回忆TCP/IP各层结构图)
(1)物理层:数据通过线传输是特点
威胁:监听网线,sniffer软件进行抓包,拓朴结构被电磁扫描攻破
保护:加密,流量填充等
(2)internet层:提供寻址功能是其特点-----路由,IP,ICMP,ARP,RARP
威胁:IP欺骗(工具完成将数据包源地址IP改变)
保护:补丁、防火墙、边界路由器设定
(3)传输层:控制主机间的信息流量-----TCP,UDP
威胁:DOS(图),DDOS,会话劫持等
保护:补丁、防火墙、开启操作系统抗DDOS攻击特性
‘柒’ 如何使Web用户安全的对数据库进行访问
sql多用户访问数据库其实就是事务并发,会引起如下问题:
1、脏读:一个事务读取到了另外一个事务没有提交的数据
事务1:更新一条数据
事务2:读取事务1更新的记录
事务1:调用commit进行提交
此时事务2读取到的数据是保存在数据库内存中的数据,称为脏读。
读到的数据为脏数据
详细解释:
脏读就是指:当一个事务正在访问数据,并且对数据进行了修改,而这种修改还没有提交到数据库中,这时,
另外一个事务也访问这个数据,然后使用了这个数据。因为这个数据是还没有提交的数据,那么另外一个
事务读到的这个数据是脏数据,依据脏数据所做的操作可能是不正确的。
2、不可重复读:在同一事务中,两次读取同一数据,得到内容不同
事务1:查询一条记录
事务2:更新事务1查询的记录
事务2:调用commit进行提交
事务1:再次查询上次的记录
此时事务1对同一数据查询了两次,可得到的内容不同,称为不可重复读。
3、幻读:同一事务中,用同样的操作读取两次,得到的记录数不相同
事务1:查询表中所有记录
事务2:插入一条记录
事务2:调用commit进行提交
事务1:再次查询表中所有记录
此时事务1两次查询到的记录是不一样的,称为幻读
详细解释:
幻读是指当事务不是独立执行时发生的一种现象,例如第一个事务对一个表中的数据进行了修改,
这种修改涉及到表中的全部数据行。同时,第二个事务也修改这个表中的数据,这种修改是向表
中插入一行新数据。那么,以后就会发生操作第一个事务的用户发现表中还有没有修改的数据行,
就好象发生了幻觉一样。
处理以上隔离级别的问题,采用如下方是:
事务隔离五种级别:
TRANSACTION_NONE 不使用事务。
TRANSACTION_READ_UNCOMMITTED 允许脏读。
TRANSACTION_READ_COMMITTED 防止脏读,最常用的隔离级别,并且是大多数数据库的默认隔离级别
TRANSACTION_REPEATABLE_READ 可以防止脏读和不可重复读,
TRANSACTION_SERIALIZABLE 可以防止脏读,不可重复读取和幻读,(事务串行化)会降低数据库的效率
以上的五个事务隔离级别都是在Connection接口中定义的静态常量,
使用setTransactionIsolation(int level) 方法可以设置事务隔离级别。
如:con.setTransactionIsolation(Connection.REPEATABLE_READ);
注意:事务的隔离级别受到数据库的限制,不同的数据库支持的的隔离级别不一定相同
1 脏读:修改时加排他锁,直到事务提交后才释放,读取时加共享锁,读取完释放事务1读取数据时加上共享锁后(这 样在事务1读取数据的过程中,其他事务就不会修改该数据),不允许任何事物操作该数据,只能读取,之后1如果有更新操作,那么会转换为排他锁,其他事务更 无权参与进来读写,这样就防止了脏读问题。
但是当事务1读取数据过程中,有可能其他事务也读取了该数据,读取完毕后共享锁释放,此时事务1修改数据,修改 完毕提交事务,其他事务再次读取数据时候发现数据不一致,就会出现不可重复读问题,所以这样不能够避免不可重复读问题。
2 不可重复读:读取数据时加共享锁,写数据时加排他锁,都是事务提交才释放锁。读取时候不允许其他事物修改该数据,不管数据在事务过程中读取多少次,数据都是一致的,避免了不可重复读问题
3 幻读问题:采用的是范围锁RangeS RangeS_S模式,锁定检索范围为只读,这样就避免了幻影读问题。
‘捌’ Web浏览器存在哪些安全隐患如何保证Web浏览器的安全
1、IE的自动登录
拨号上网用户使用IE时,连接对话框有个“保存密码”选项,在Web页面直接登录邮箱时也有“保存密码”选项。看“*”号工具软件可以轻易将密码翻译出来。建议你尽量不要使用该选项。
2、IE的颜色足迹
IE以及Web页面设计者一般都将页面上未访问的和已访问过的链接设置成不同的颜色,虽说方便了用户浏览,但不经意间会泄露了你的浏览足迹。在IE的菜单栏点击[工具]→[Internet选项]→[常规]→[辅助功能],在随后的对话框内勾选格式区域的“不使用Web页中指定的颜色”项,确定之后,点击[颜色]按钮,在“颜色”区域勾选“使用Windows颜色”,在“链接”区域通过色板将未访问的和访问过的链接的颜色设置成相同,别人就看不到你的浏览足迹了。
3、IE的Cookie
Cookie,我们已经介绍过多次了,它可不仅仅是小甜饼哦!可以通过设置不同的安全级别来限制Cookie的使用。如果要彻底删除Cookie,可将目录“Windowscookies”下的所有文件全部删除,这样就可有效保护你的个人隐私了。当然使用个人防火墙也可以对Cookie的允许、提示、禁止等功能的进行使用限制。
4、IE的自动完成
IE的自动完成功能给用户填写表单和输入Web地址带来一定的便利,但同时也给用户带来了潜在的危险,尤其是对于在网吧或公共场所上网的网民。若需禁止该功能,只需点击[工具] →[Internet选项]→[内容],在“个人信息”区域单击[自动完成]按钮,在随后的对话框内清除Web地址、表单及表单的用户名和密码项的选择。
5、IE的历史记录以及临时文件夹
我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在历史记录以及临时文件夹(WindowsTemporary Internet Files)中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率,但是通过IE的脱机浏览,其他用户能够轻松地翻阅你浏览的内容。如何保护个人信息资料的安全呢?方法如下:点击[工具]→[Internet选项]→[常规]→[删除文件],在“删除文件”对话框中勾选“删除所有脱机内容”,[确定]即可。另外,也可以设置成自动删除临时文件,切换至“高级”选项卡,在安全区域勾选“关闭浏览器时清空Internet临时文件夹”。这样在关闭IE时就会自动删除临时文件夹中的内容了;然后在同样的对话框中单击[清除历史记录]按钮来删除浏览器中的历史记录中的内容。
6、屏蔽ActiveX控件
由于ActiveX控件可以被嵌入到HTML页面中,并下载到浏览器端执行,因此会给浏览器端造成一定程度的安全威胁。同时,其他一些技术,如内嵌于IE的VB Script语言,还有一些新技术,如ASP(Active server Pages)技术同样也都存在着一定的安全隐患。所以我们要屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件,方法如下:点击[工具]→[Internet选项]→[安全]→ [自定义级别],在打开的“安全设置”对话框中找到关于ActiveX控件的设置,就选择“禁用”好了。
7、IE的安全区域设置
IE的安全区设置可以让你对被访问的网站设置信任程度。我们在上网浏览信息时,应经常通过一些报刊杂志来搜集一些黑客站点或其他一些破坏站点的相关信息,并时时注意哪些站点会恶意窃取别人的个人信息,通过一些相关设置来拒绝这些站点对你的信息的访问,从而使浏览器能够自动拒绝这些网站发出的某些对自己有安全威胁的指令。方法是:点击[工具]→[Internet选项]→[安全],单击“受限站点”右边的[站点]按钮,将需要限制的站点的地址添加进去,完成站点地址的添加工作以后,单击[确定]按钮,浏览器将对上述的受限站点起作用。
转自电脑之家网
‘玖’ 如何让web安全
服务器是网络环境中为客户机提供各种服务的、特殊的计算机系统,在网络中具有非常重要的地位,服务器安全性显得尤为重要。Web服务器安全漏洞 Web服务器上的漏洞可以从以下几方面考虑: a.在Web服务器上你不让人访问的秘密文件、目录或重要数据。 b.从远程用户向服务器发送信息时。特别是信用卡之类东西时,中途遭不法分子非法拦截。 c.Web服务器本身存在一些漏洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。 d.CGI安全方面的漏洞有: (1)有意或无意在主机系统中遗漏Bugs给非法黑客创造条件。 (2)用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(Form),并进行检索(Search index),或form-mail之类在主机上直接操作命令时,或许会给Web主机系统造成危险。提高系统安全性和稳定性 a.限制在Web服务器开账户,定期删除一些断进程的用户。 b.对在Web服务器上开的账户,在口令长度及定期更改方面作出要求,防止被盗用。 c.尽量使FTP、MAIL等服务器与之分开,去掉ftp,sendmail,tftp,NIS,NFS,finger,netstat等一些无关的应用。 d.在Web服务器上去掉一些绝对不用的如SHELL之类的解释器,即当在你的CGI的程序中没用到PERL时。就尽量把PERL在系统解释器中删除掉。 e.定期查看服务器中的日志logs文件。分析一切可疑事件。