压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　安全運(yùn)用背景一：

　　1.如果你的網(wǎng)站只是面向特定用戶即用戶量很少的，建議給首頁加一個(gè)口令驗(yàn)證，使用session驗(yàn)證。如果驗(yàn)證未通過，則網(wǎng)站的所有頁面都訪問不了。當(dāng)沒有輸入正確的密碼和驗(yàn)證碼的時(shí)候，直接訪問其他頁面文件，就會(huì)提示"訪問者無權(quán)訪問，并跳轉(zhuǎn)到首頁輸入口令驗(yàn)證身份。"

　　分析1：

　　這樣處理可以防止那種使用目錄爆破工具猜測(cè)網(wǎng)站目錄，保證了站點(diǎn)目錄的安全性。

　　安全運(yùn)用背景二：

　　2.大家都知道有的軟件可以暴力破解后臺(tái)賬號(hào)和密碼，比如burp。但是網(wǎng)站加了驗(yàn)證碼暴力破解就比較困難了，但是有的軟件可以暴力驗(yàn)證碼。此時(shí)我們可以用一個(gè)很巧妙的"誘騙手段"，提示有驗(yàn)證碼，但是我們的后臺(tái)并非就是采用的這個(gè)驗(yàn)證碼做驗(yàn)證，我們可以采用這個(gè)驗(yàn)證碼的一部分，或者用這個(gè)驗(yàn)證碼進(jìn)行特定計(jì)算后的值來判定是否驗(yàn)證通過。這樣的話別人再怎么暴力破解恐怕也白搭了！！

　　分析2：

　　盡管你多么多么費(fèi)力的找來各種字典，驗(yàn)證碼只是一個(gè)浮云，或者并非你想的那樣簡(jiǎn)單的驗(yàn)證，這么恨的招，一般人想得到嗎？？

　　安全運(yùn)用背景三：

　　3.關(guān)于后臺(tái)，網(wǎng)站的重中之重的，很多的攻擊都要基于后臺(tái)完成，找不到后臺(tái)，對(duì)一個(gè)站點(diǎn)的安全性提高來說太重要了；正如BTCF競(jìng)賽官方平臺(tái)里把目錄進(jìn)行32位MD5加密，這樣對(duì)于brup這樣的暴力破解找目錄軟件來說那簡(jiǎn)直是噩耗啊！！！

　　分析3：

　　好狠的大招，-但是也可以做到吧？？只要有心，把字典全部MD5加密后來跑吧，但是目測(cè)這個(gè)目錄的MD5解出來就困難了！！所以這個(gè)確實(shí)是個(gè)大招啊！！

　　4.自定義錯(cuò)誤頁面，不是指默認(rèn)的404頁面，把所有的不存在的頁面都轉(zhuǎn)成狀態(tài)200的頁面，讓北極熊類的掃描器成為廢物。

　　分析4：

　　掃描工具絕大部分都是基于頁面請(qǐng)求返回的狀態(tài)200 302 404 這樣的狀態(tài)值來判定這個(gè)頁面是否存在。當(dāng)頁面不存在時(shí)，系統(tǒng)會(huì)默認(rèn)跳轉(zhuǎn)到404頁面，返回404狀態(tài)值，所以后臺(tái)可以把這樣的404全部轉(zhuǎn)到202來返回，這樣欺騙了掃描軟件沒辦法找到真實(shí)的頁面；

　　5.在較深的目錄下，放入假的php asp aspx 的各種大馬，讓入侵者好不容易找到了一個(gè)大馬，用字典去爆破，讓他萬萬沒想到的卻是這個(gè)永遠(yuǎn)也無法破解成功。

　　分析5：

　　這個(gè)好傷人感情的說，好讓人尷尬的說！！絕大部分人都想不到居然這根本就是一個(gè)虛假的木馬！

　　6.放入虛假的rar .zip  .gz 等壓縮文件，小到幾十M 大的可以是幾百M(fèi)的，里面全是電影。視頻。或者其他網(wǎng)站的源程序。這些東西讓那些入侵者慢慢去研究吧！！

　　分析6：

　　當(dāng)入侵者拿到這些文件打開后，確實(shí)很無語，很無奈啊！！但是別忘記了 最近沒多久爆出來的<利用Google爬蟲DDoS任意網(wǎng)站>，所以說呢。。這個(gè)還是有風(fēng)險(xiǎn)的喲！！

　　說明： 學(xué)習(xí)參照來自于IDF實(shí)驗(yàn)室微博上文章！！！感覺很有用，摘錄下來學(xué)習(xí)學(xué)習(xí)！！！