通过对php一些服务器端特性的配置加强php的安全bysan@xfocus.org前面象ShaunClowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到的问题,以及如何通过应用程序漏洞突破系统,这篇文章我们来通过对php的一些服务器端特性来进行配置加强php的安全。写cgi脚本的时候我们的确一定注意各种安全问题,对用户输入进行严格的过滤,但是常在岸边走哪有不湿鞋,吃烧饼哪有不掉芝麻,人有失蹄马有失手,连著名的phpnuke、phpMyAdmin等程序都出现过很严重的问题,更何况象我等小混混写的脚本。所以现在我们假设php脚本已经出现严重问题,比如象前...
http://www.jb51.net//article/1598.htm
可以读/etc/passwd!这段。。[文件上载]PHP自动支持基于RFC1867的文件上载,我们看下面的例子:<FORMMETHOD="POST"ENCTYPE="multipart/form-data"><INPUTTYPE="FILE"NAME="hello"><INPUTTYPE="HIDDEN"NAME="MAX_FILE_SIZE"VALUE="10240"><INPUTTYPE="SUBMIT"></FORM>上面的代码让用户从本地机器选择一个文件,当点击提交后,文件就会被上载到服务器。这显然是很...
http://www.jb51.net//article/1514.htm
浏览网页会感染“病毒”,浏览网页会感染木马,你相信吗?大约半年前就有人使用这种技术来进行攻击了!恶意代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止恶意代码的攻击,大多数甚至根本就不能发现。 《电脑报》今年25期D4版曾介绍了一个叫Gohip的网站,可以修改浏览器的默认网址,使其指向Gohip网站。其实这还算客气的了,如果你去浏览了一个叫“万花谷”的网站,你就会感觉到Gohip算“仁慈”了。 一、切身体验 在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开...
http://www.jb51.net//article/1365.htm
SQLServer2000的安全配置在进行SQLServer2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似,‘;@/等字符,防止破坏者构造恶意的SQL语句。接着,安装SQLServer2000后请打上补丁sp1以及最新的sp2。 下载地址是:http://www.microsoft.com/sql/downloads/2000/sp1.asp 和http://www.m...
http://www.jb51.net//article/1342.htm
PJBlog2是PuterJam开发的一款免费的ASP + Access的个人blog系统,这几天偶想弄个blog来玩玩,经过比较选中了功能、界面都相对较好的PJBlog2。经过试用,感觉这blog还不错,也发现几个安全方面的小问题,就把我的一点点见解发出来。我分析的版本是05年12月11日发布的PJBlog2 v2.4.1211版本。一、 密码加密算法PJBlog2没有采用常用的MD5算法对用户密码加密,而是使用的SHA1算法。SHA1算法跟MD5类似,也是单向散列函数,不过它对任意长度的数据进行处理输出160位的数值。PJBlog2在创建新用户的时候...
http://www.jb51.net//article/1213.htm
网上流传的很多关于windowsserver2003系统的安全配置,但是仔细分析下发现很多都不全面,并且很多仍然配置的不够合理,并且有很大的安全隐患,今天我决定仔细做下极端bt的2003服务器的安全配置,让更多的网管朋友高枕无忧。我们配置的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等),这里前提是已经安装好了系统,IIS,包括FTP服务器,邮件服务器等,这些具体配置方法的就不再重复了,现在我们着重主要阐述下关于安全方面的配置。关于常规的如安全的安装系统,设置和管理帐户...
http://www.jb51.net//article/1090.htm
国际安全组织新发布:2004年十大网络应用漏洞 IT安全专业人士的开放网络应用安全计划组织(OWASP)发布的第二份年度十大网络应用安全薄弱环节列表中,增加了“拒绝提供服务”类型的隐患,因为在去年该类型的隐患已屡见不鲜。OWASP的主席兼“奠基石”(一家提供战略安全服务的公司)顾问会主任柯费·马克称:“我们预测:本年度,主要的电子商务网站将遭到拒绝提供服务的攻击,因为黑客已经对众多的用户密码感到厌烦。”比如:当一名掌握着大量电子邮件帐号的黑客发起攻击,致使电子商务网站上的用户密码被修改时,他便得手了。 当柯费在Charle...
http://www.jb51.net//article/933.htm
对于网民来说,各种潜在的威胁可能会随时到来。在这些威胁中,往往是“明枪好躲、暗箭难防”,网络病毒,黑客工具大家比较重视,损失相对少一些,但对于利用特殊手段窥探个人隐私的人,却有所忽视。明明已经造成隐私外泄,却毫不知情。所以采取什么样的措施才能确保个人网络安全,必然成为网络用户们最为关注的问题。 一、网络中隐身的办法 提醒经常在网上冲浪的网民要注意,Win9x以上的操作系统可以对以前用户登录的信息具有记忆功能,下次重新启动计算机时,我们会在用户名栏中发现上次用户的登录名,这个信息可能会被一些非法分子利用,而给用户造成威胁,为此我们有...
http://www.jb51.net//article/927.htm
Windows 2003以其稳定的性能越来越受到用户的青睐,但面对层出不穷的新病毒,你仍然有必要再加强Windows 2003的安全性。 1. 用户口令设置 设置一个键的密码,在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“skdfksadf10@”等,可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。 2. 删除默认共享 单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows 设置...
http://www.jb51.net//article/365.htm
删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WSCRIPT.NETWORKWSCRIPT.NETWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车Windows 2003 硬盘安全设置c:\administrators 全部system 全部iis_wpg 只有该文件夹列出文件夹/读数据读属性读扩展属性读取权限c:\inetpub\mailrootadministra...
http://www.jb51.net//article/364.htm
故障为用浏览器下载公司管理系统中的“*.cab”或“*.rar”格式文件时会出现任务失败的提示,一些打包的程序和公文无法得到及时处理。 下载“挑食”,文件损坏是祸根 下载部分格式文件出现错误,这个问题对于IIS服务器来说,一般是因为数据格式处理的文件出了问题。经过检查,发现 “System32\Inetsrv”目录下的metadata.dll和MetaBase.xml这两个文件已损坏。 提示:检查的方式可以采用Windows自带的sfc命令,也可以使用其他文件完整性检查工具。 恢复IIS,先删后装更安全 笔者开始按照以往的解决思路,在“添加或删除程序...
http://www.jb51.net//article/362.htm