网站安全

HTTP 说一下http和https https的SSL加密是在传输层实现的。 (1)http和https的 基本概念 http: 超文本传输协议，是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。 https: 是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 https协议的主要作用是：建立一个信息安全通道，来确保数组的传输，确保网站的真实性。 (2)http和https的 区别 ？ http传输的数据都是未加密的，也就是明文的，网景公司设置了SSL协议来对http协议传输的数据进行加密处理，简单来说 https协议是由http和ssl协议构建的可进行加密传输和身份认证的网络协议 ，比http协议的安全性更高。 主要的区别如下： Https协议需要ca证书，费用较高。 http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。 使用不同的链接方式，端口也不同，一般而言，http协议的端口为80，https的端口为443 http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输

最近项目涉及到安全方面，自己特意了解了一下，记录在此，共同学习。 常见的web安全有以下几个方面 同源策略（Same Origin Policy） 跨站脚本攻击XSS（Cross Site Scripting） 跨站请求伪造CSRF（Cross-site Request Forgery） 点击劫持（Click Jacking） SQL注入（SQL Injection） 同源策略 含义 所谓同源策略，指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。 所谓"同源"指的是"三个相同" 协议相同 域名相同 端口相同 举例来说，http://www.example.com/dir/page.html 这个网址，协议是 http:// ，域名是 www.example.com ，端口是 80（默认端口可以省略）。它的同源情况如下 http://www.example.com/dir2/other.html：同源 http://example.com/dir/other.html：不同源（域名不同） http://v2.www.example.com/dir/other.html：不同源（域名不同） http://www.example.com:81/dir/other.html：不同源（端口不同） 目的 同源政策的目的

在茫茫的互联网之海中，作为企业站长，随时随地都会受到攻击，所以有必要了解网络攻击者常用的手段： 1.人性式攻击 技术含量往往很低，针对就是人性，有点骗子攻击的味道，如钓鱼式攻击。 2.中间人攻击 合拢而来几乎都是中间人攻击，任何两方面的通讯，必然受到第三方攻击的威胁，比如。比如sniffer嗅探攻击，这种攻击可以说是网络攻击中最常用的。 3.缺陷式攻击 世界上没有一件完美的东西，网络也是如此，譬如DDoS攻击，这本质上不是漏洞，而只是一个小小的缺陷，因为TCP协议必须经历三次握手。 4.漏洞式攻击 就是所谓的0day Hacker，这种攻击是最致命的，但凡黑客手中，必定有一些未公布的0day漏洞利用软件，可以瞬间完成攻击。 要重视网站安全建设，要从从安全制度、安全硬件、安全人员配备等都要有一定的规划。如果网站的拥有者都不重视网站安全，仅把网站安全当作一个技术问题，那就是会带来严重的麻烦。 1.要做好数据备份，防止不幸后可以将受攻击的损失降到最低； 2.进行安全检查，主动进行渗透检测； 3.定制安全服务，因为安全服务不是一次检测等就可确保安枕无忧的，需要定期进行安全维护，以及安全服务机构提供一些安全日常服务。 4.接入云漫网络专业高防CDN，有效解决DDOS和CC攻击问题，并且还能帮网站解决加速问题。 来源： https://my.oschina.net/u/4143265/blog

参考链接： https://www.linuxprobe.com/chapter-10.html 网站服务程序 第1步 ：把光盘设备中的系统镜像挂载到/media/cdrom目录。 [root@linuxprobe ~]# mkdir -p /media/cdrom [root@linuxprobe ~]# mount /dev/cdrom /media/cdrom mount: /dev/sr0 is write-protected, mounting read-only 第2步 ：使用Vim文本编辑器创建Yum仓库的配置文件 [root@linuxprobe ~]# vim /etc/yum.repos.d/rhel7.repo [rhel7] name=rhel7 baseurl=file:///media/cdrom enabled=1 gpgcheck=0 第3步 ：动手安装Apache服务程序。注意，使用yum 命令 进行安装时，跟在命令后面的Apache服务的软件包名称为httpd。如果直接执行yum install apache命令，则系统会报错。 [root@linuxprobe ~]# yum install httpd Loaded plugins: langpacks, product-id, subscription-manager ……………

互联网发展至今，已经让人们对它产生了很大的依赖，很多交易都是在网上进行的。然而，网络攻击事件也在与日俱增，网络安全已经成为一件大事，这就不得不用到SSL证书了。 什么是SSL证书？为什么网络安全需要他们？ SSL证书是一种提供SSL协议的证书，通过在客户端浏览器和web服务器之间建立一条SSL安全通道，对网络传输数据进行加密，防止数据被截取或窃听。从而确保数据传输的安全性以及数据的完整性。 我们都知道，任何从事电子商务的网站都必须在其web服务器上安装SSL证书，以确保客户和公司信息的安全性，以及在线金融交易的安全性。OVSSL和EVSSL证书广泛用于电商网站，因其具有更高的安全性和可信性。 使用SSL证书有很多好处 1、保护客户及公司信息 安装SSL证书后，网站由原来的HTTP纯文本传输方式变为HTTPS加密传输方式，保证了用户到服务器之间的安全通信。同时也有效的保护了用户信息和公司信息不被第三方窃取。 如果没有SSL证书，客户的信息不受保护，隐私极容易被窃取，会给用户造成极大的困扰，而降低对网站的信任度。 相关部门要求在线企业要保护用户个人身份信息、个人健康信息、信用卡号码和其他敏感数据，未能保护客户信息的企业可能会导致罚款以及其他处罚。 2、有利于优化SEO排名 百度谷歌均明确表示会优先收录https的站点，https站点要比http站点拥有更好的排名权重，使网站优化效果更好

当我们在浏览某些http站点时会发现浏览器提示“不安全”的警告，而我们的第一反应可能就是这个网站不安全，立马关掉，不会再进行下一步的操作了。长此以往，会让一些企业损失掉不少潜在的客户，负面影响还是挺大的。安信SSL需要告诉大家的是，对于需要进行交易的网站，这种“不安全”提示更有可能会导致用户中断交易。 除了降低用户信任度和减少交易量外，“不安全”警告还可能损害公司的品牌。有研究表明，绝大部分活跃互联网用户希望与能保护他们重要信息的公司做生意，而且是希望与采取最佳安全保护方案的公司做生意。 而增强型SSL证书（EV）在地址栏绿色显示企业名称，能极大的增加用户对网站的信任度，也能表明企业对用户信息保护的重视程度。而“不安全”警告产生了相反的效果，它强烈表明网站没有采取措施来保护用户信息安全。当用户对网站的信任度消失时，网站收入也就随之消失。 未安装SSL证书时，网站以http协议明文传输，而安装SSL证书后，网站以https协议加密传输，其通过在客户端浏览器和web服务器之间建立一条SSL安全通道，可以使数据进行加密传输，防止数据被截取、窃听和篡改，从而保证了网络数据传输的安全性。 当网站需要用户购买、打开或登录账户、填写或提交敏感信息时，需要为网站部署最高级别的EV SSL证书，它能最大程度的获取用户的信任度以及最大程度的提供网站交易量。 网络安全不仅为运营站点的企业提供保护

谣言粉碎机前些日子发布的《 用公共WiFi上网会危害银行账户安全吗？ 》，文中介绍了在使用HTTPS进行网络加密传输的一些情况，从回复来看，争议还是有的。随着网络越来越普及，应用越来越广泛，一些网络安全问题也会越来越引起网民的关注，在这里和大家一起聊聊TLS/SSL也就是我们常说的HTTPS，从原理到实际应用看清它到底是怎么一回事，以及在使用HTTPS要注意哪些问题以及相关的安全技巧。 网络安全是一个整体的事件，涉及到个人计算机的安全，协议的安全，传输数据的安全，以及软件开发公司和网站的安全，单纯的依靠一个HTTPS协议并不能解决所有的问题。希望通过今后一点一点的对安全相关的问题进行说明解释，能让更多人对网络安全有所了解，从而更安全的使用网络。 文章会比较长，暂时计划分成三个部分： 第一部分主要描述HTTPS的原理；第二部分主要描述SSL证书验证的过程与使用的一些注意事项；第三部分会呈现一些针对HTTPS攻击的实例。如果有需要，我会后续的补充一些内容。 我尽量使用最简洁的语言来描述相关的概念，这里开始先挖个坑，然后慢慢地填。 HTTPS那些事（二）SSL证书 HTTPS那些事（三）攻击实例与防御 一、什么是HTTPS 在说HTTPS之前先说说什么是HTTP，HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的，也就是明文的

安全攻击---csrf csrf：跨站请求伪造 通过伪装成受信任用户的请求来利用受信任的网站 三种常见的安全攻击 sql注入（防御方式：使用execute提交参数） xss跨站脚本攻击（防御方式：对客户端发来的数据进行转义） csrf跨站请求伪造（防御方式：提交数据时进行验证） csrf概念 攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 csrf攻击原理及过程 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A 在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行 python防御原理 开启中间件(django.middleware.csrf

怎样禁止自己的网站在访问某目录时直接列出网站目录---本文针对使用apache主机的网站。 有时候访问一个不应当被访问的网站目录时网站会列出该目录下的所有文件，这很不安全，尤其是我们希望我们自己的网站不出现这种情况。 怎样禁止自己的网站列出网站目录呢？有三种防范： 1、在每个目录里都放一个空的index.htm文件，这样当访问这个目录时apache会自动显示这个空文件，不会列出该目录下的文件。 2、修改.htaccess文件，加入下面一句代码就可以了，这个适用于所有linux主机，尤其是虚拟主机网站： Options -Indexes 复制代码 3、修改httpd.conf文件，这个适用于使用VPS或独立服务器的网站： vi /etc/httpd/conf/httpd.conf 查找 Options Indexes FollowSymLinks，修改为 Options -Indexes。 两个增强linux VPS安全的必要设置 当我们购买了linux平台的VPS后，一般是通过SSH远程登录VPS服务器进行操作和维护。有些VPS提供商不提供root权限，有些VPS提供商则直接提供root权限。没有提供root权限的VPS一般可以通过su命令得到root权限。对于提供root权限的VPS用户的操作自由度更大，但为了VPS安全，在VPS安装和设置完成后，最好做一下安全设置

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。 一、HTTP和HTTPS的基本概念 HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。 HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。 二、HTTP与HTTPS有什么区别？ HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全，为了保证这些隐私数据能加密传输