网站安全

自从 Web 应用能给访问者提供丰富的内容之后，黑客们就把目光转向任何他们能够破坏，损毁，欺骗的漏洞。通过网络浏览器提供的应用越来越多，网络罪犯们可以利用的漏洞数量也呈指数增长起来。 大多数企业都依赖于网站向客户提供内容，与客户进行互动，销售产品。因此，企业会部署一些常用的技术来处理网站的不同请求。Joomla！或 Drupal 这样的内容管理系统或许能够建立包含产品、服务以及相关内容的健壮网站。此外，企业往往会使用 Wordpress 博客或基于 phpBB 的论坛这类依靠用户产出内容的社区，给客户提供评论和讨论的反馈平台。无论规模大小，对于直接在网上销售的电商企业，ZenCart 和 Magento 都能满足他们的需求。但再加上数千个网站依赖的专有应用程序，确保网络应用程序的安全应该是任何规模的网站管理者的首要问题。 ###与网络应用相关的风险 网络应用程序允许访问者访问网站最重要的资源——网络服务器和数据库服务器。和任何一款软件一样，网络应用程序的开发人员在产品和功能上花费了大量时间，却很少把时间用在安全上。当然，这并不是说开发人员不关心安全问题，实际情况绝非如此。真正的原因是，一方面，开发者对安全缺乏理解。另一方面，项目经理考虑安全问题的时间太少。 不管是什么原因，应用程序往往充满了漏洞。利用这些漏洞，攻击者可以访问 Web 服务器或数据库服务器。到那时候

Chrome下自签名证书提示无效的问题 发现chrome验证证书很严格，必须带有Subject Alternative Name. 签发csr时，修改openssl.cnf （windows 所在目录 :\OpenSSL\bin\cnf\openssl.cnf ） 在 [ req ]节添加 req_extetions = v3_req 生成 CSR 文件时读取名叫 v3_req 的节的配置， [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names 在 alt_names 添加域名 DNS.1 = localhost DNS.2 = your.doman.com 生成csr openssl req -sha256 -newkey rsa:2048 -nodes -keyout ssl.key -x509 -days 3650 -out ssl.crt -config ./cnf/openssl.cnf -extensions v3_req 填写完信息后，即可生成 对应的 key 和 srt 文件；

近期受世界杯的影响,我们Sinesafe接过很多中小企业网站频繁的被×××***篡改了快照内容的网站安全问题导致打开网站被提示×××页面,在搜索引擎中会被提示百度网址安全中心提醒您：该页面可能已被非法篡改！ 主要客户网站问题基本都是反复性质的篡改,手动清理删除掉代码只能解决当前问题,没过几天就又被篡改了内容,而且经常是篡改首页顶部的代码. 1.网站快照被劫持问题分析与解决方案处理过程 下面我们分析下客户网站,客户是Linux系统的单独服务器，网站采用的是discuz论坛程序+uchome (PHP+mysql数据库架构）由于客户的网站在百度权重很高且权重为6,所以百度收录页面也是秒收的，网站关键词的排名也很靠前。网站被篡改跳转到×××，以及收录一些×××内容快照的×××问题，困扰了客户整整三年,总是反反复复的被篡改跳转。而且这些网站篡改都是隐蔽性非常强的,从百度搜索引擎搜索过来的手机用户，会直接跳转到×××网站,直接在输入网址则不会跳转。从我们这么多年网站安全维护的经验来看，这个×××是故意做了浏览器的判断，来让网站跳转到×××上去，让网站的管理员无从下手寻找被跳转的踪迹,通过我们sinesafe的安全审计部门技术，对网站的全面安全检测和代码安全审计,发现客户网站的代码，存在任意文件上传漏洞，导致可以绕过文件名的后缀格式，从而进行上传网站脚本×××,来、达到篡改网站内容的×××目的

Apache ——取自美国印第安人土著语Apache,寓意着拥有高超的作战策略和无穷的耐性，由于其跨平台和安全性广泛被认可且拥有快速、可靠、简单的API扩展。目前拥有很高的Web服务软件市场占用率，全球使用最多的Web服务软件，开源、跨平台（可运行于Unix,linux,windows中）。 支持基于IP或域名的虚拟主机 支持多种方式的HTTP认证 集成代理服务器模块 安全Socket层(SSL) 能够实时见识服务状态与定制日志 多种模块的支持 个人用户主页功能 Apache服务程序中有个默认未开启的 个人用户主页 功能，能够为所有系统内的用户生成个人网站，确实很实用哦~ 第1步:开启个人用户主页功能： [root@linuxprobe ~]# vim /etc/httpd/conf.d/userdir.conf 将第17行的UserDir disabled前加一个#，代表该行被注释掉，不再起作用。 将第23行的UserDir public_html前的#号去除，表示该行被启用。 注意:UserDir参数表示的是需要在用户家目录中创建的网站数据目录的名称(即 public_html ) 重启Apache服务程序： [root@linuxprobe ~]# systemctl restart httpd 第2步:创建个人用户网站数据。 切换至普通会员linuxprobe的家目录：

优化Apache服务——防盗链 假如某天你负责的网站服务器突然流量暴增，先不要感到惊喜。有很大可能是有其他网站将本站的静态资源进行了盗链，使很多的访问压力都转接到自己服务器上，点击量还不是自己的。 作为作为网站的维护人员，要杜绝我们服务器的静态资源被其他网站盗用。 模拟环境 IP地址 域名 实验用途 192.168.116.148 www.zhy.com DNS服务器、源网站 192.168.116.128 无域名 盗链网站 实验步骤 1、安装DNS [ root @localhost ~ ] # yum install bind - y [ root @localhost ~ ] # vim / etc / named . conf options { listen - on port 53 { any ; } ; //括号内127.0.0.1改为any listen - on - v6 port 53 { : : 1 ; } ; directory "/var/named" ; dump - file "/var/named/data/cache_dump.db" ; statistics - file "/var/named/data/named_stats.txt" ; memstatistics - file "/var/named/data/named_mem

服务器的安全防护中，网站环境的搭建与安全部署也是很重要的一部分，目前大多数的服务器都使用的是nginx来搭建网站的运行环境，包括windows服务器，linux服务器都在使用，nginx的安全设置对于服务器安全起到很重要的作用。关于如何设置nginx安全，以及服务器的安全部署，我们SINE安全公司来详细的给大家介绍一下: 大部分的网站使用nginx来做负载均衡以及前端的80端口代码来进行静态html文件的访问，nginx的安全设置如果没有设置好会导致服务器安全出现问题，可能会导致服务器被入侵，以及网站被攻击。 nginx 在linux centos系统里，使用的是nginx.conf的格式文件来作为网站的配置文件，里面的配置主要是绑定域名，以及端口，指定到网站的目录地址，伪静态规则，看下图： 从上图的配置文件中，我们可以看出，nginx的内部结构很清晰，每一行代码都写的很精简，针对的功能也是唯一的，每个代码对应的指令以及作用划分的很仔细，其中server就是我们IIS配置的host地址，比如域名以及IP地址，在server的代码里写入端口，可以将网站设置成端口形式的访问。现在我们大体的了解了什么nginx，那么nginx设置不全面，会导致那些漏洞呢？ 最常见的就是网站目录可以被任意的查看，也就是网站目录遍历漏洞，这个简单来说就是如果服务器里有很多网站，随便一个网站被攻击

1. 缘起：启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务，但用户在访问某个网站的时候，在浏览器里却往往直接输入网站域名（例如 www.example.com ），而不是输入完整的URL（例如 https://www.example.com ），不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作，如下图所示。 图1：服务器和浏览器在背后帮用户做了很多工作 简单来讲就是，浏览器向网站发起一次HTTP请求，在得到一个重定向响应后，发起一次HTTPS请求并得到最终的响应内容。所有的这一切对用户而言是完全透明的，所以在用户眼里看来，在浏览器里直接输入域名却依然可以用HTTPS协议和网站进行安全的通信，是个不错的用户体验。 一切看上去都是那么的完美，但其实不然，由于在建立起HTTPS连接之前存在一次明文的HTTP请求和重定向（上图中的第1、2步），使得攻击者可以以中间人的方式劫持这次请求，从而进行后续的攻击，例如窃听数据，篡改请求和响应，跳转到钓鱼网站等。 以劫持请求并跳转到钓鱼网站为例，其大致做法如下图所示： 图2：劫持HTTP请求，阻止HTTPS连接，并进行钓鱼攻击 第1步：浏览器发起一次明文HTTP请求，但实际上会被攻击者拦截下来 第2步：攻击者作为代理，把当前请求转发给钓鱼网站 第3步：钓鱼网站返回假冒的网页内容 第4步

运维工作应该掌握哪些技能？ 运维中关键技术点解剖：1 大量高并发网站的设计方案 ；2 高可靠、高可伸缩性网络架构设计；3 网站安全问题，如何避免被黑？4 南北互联问题,动态CDN解决方案；5 海量数据存储架构 一、什么是大型网站运维？ 首先明确一下，全文所讲的”运维“是指：大型网站运维，与其它运维的区别还是蛮大的；然后我们再对大型网站与小型网站进行范围定义，此定义主要从运维复杂性角度考虑，如网站规范、知名度、服务器 量级、pv量等考虑，其它因素不是重点；因此，我们先定义服务器规模大于1000台，pv每天至少上亿（至少国内排名前10），如sina、baidu、 QQ， http:// 51.com 等等；其它小型网站可能没有真正意义上的运维工程师，这与网站规范不够和成本因素有关，更多的是集合网络、系统 、开发工作于一身的“复合性人才”，就如有些公司把一些合同采购都纳入了运维职责范围，还有如IDC网络规划也纳入运维职责。所以，非常重要一定需要明白：运维对其它关联工种必须非常了解熟悉：网络、系统、系统开发、存储，安全,DB等；我在这里所讲的运维工程师就是指专职运维工程师。 我们再来说说一般产品的“出生”流程： 1、首先公司管理层给出指导思想，PM定位市场需求（或copy成熟应用）进行调研、分析、最终给出详细设计。 2、架构师根据产品设计的需求，如pv大小预估、服务器规模

SSL安全证书 给您的网站安装SSL证书来获取更多的客户信任！ 无论是商业网站还是个人站点，无论是用于APP后台还是微信小程序，都要选择一款适合您的SSL证书！ ssl证书产品类型 Https安全证书的作用？ 　　Https安全证书具有身份验证和数据加密的作用，有效保护网站的安全。增加站点安全性：https安全证书将保护从和到您的网站传送的敏感数。区别钓鱼网站：对服务器进行身份验证，鉴别网站的真实身份，防止被骗。保护所有子域名的安全：如果是大型网站有多个子域名，这一点特别有用。客户的信任：https安全证书能显示安全锁和绿色地址栏，帮助你获得访客的信任。搜索引擎优化：https安全证书能优化网站的SEO排名，如谷歌给https网站提供较高的排名，比那些没有证书的竞争对手更具有优势。 来源： 51CTO 作者： mb5d91a79e2e46f 链接： https://blog.51cto.com/14563323/2441782

HTTPS 随着 HTTPS 建站的成本下降，现在大部分的网站都已经开始用上 HTTPS 协议。大家都知道 HTTPS 比 HTTP 安全，也听说过与 HTTPS 协议相关的概念有 SSL 、非对称加密、 CA证书等，但对于以下灵魂三拷问可能就答不上了： 为什么用了 HTTPS 就是安全的？ HTTPS 的底层原理如何实现？ 用了 HTTPS 就一定安全吗？ 本文将层层深入，从原理上把 HTTPS 的安全性讲透。 HTTPS 的实现原理 大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密，而加密过程是使用了非对称加密实现。但其实，HTTPS 在内容传输的加密上使用的是对称加密，非对称加密只作用在证书验证阶段。 HTTPS的整体过程分为证书验证和数据传输阶段，具体的交互过程如下： ① 证书验证阶段 浏览器发起 HTTPS 请求 服务端返回 HTTPS 证书 客户端验证证书是否合法，如果不合法则提示告警 ② 数据传输阶段 当证书验证合法后，在本地生成随机数 通过公钥加密随机数，并把加密后的随机数传输到服务端 服务端通过私钥对随机数进行解密 服务端通过客户端传入的随机数构造对称加密算法，对返回结果内容进行加密后传输 为什么数据传输是用对称加密？ 首先，非对称加密的加解密效率是非常低的，而 http 的应用场景中通常端与端之间存在大量的交互