压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　安全運用背景一：

　　1.如果你的網站只是面向特定用戶即用戶量很少的，建議給首頁加一個口令驗證，使用session驗證。如果驗證未通過，則網站的所有頁面都訪問不了。當沒有輸入正確的密碼和驗證碼的時候，直接訪問其他頁面文件，就會提示"訪問者無權訪問，并跳轉到首頁輸入口令驗證身份。"

　　分析1：

　　這樣處理可以防止那種使用目錄爆破工具猜測網站目錄，保證了站點目錄的安全性。

　　安全運用背景二：

　　2.大家都知道有的軟件可以暴力破解后臺賬號和密碼，比如burp。但是網站加了驗證碼暴力破解就比較困難了，但是有的軟件可以暴力驗證碼。此時我們可以用一個很巧妙的"誘騙手段"，提示有驗證碼，但是我們的后臺并非就是采用的這個驗證碼做驗證，我們可以采用這個驗證碼的一部分，或者用這個驗證碼進行特定計算后的值來判定是否驗證通過。這樣的話別人再怎么暴力破解恐怕也白搭了??！

　　分析2：

　　盡管你多么多么費力的找來各種字典，驗證碼只是一個浮云，或者并非你想的那樣簡單的驗證，這么恨的招，一般人想得到嗎？？

　　安全運用背景三：

　　3.關于后臺，網站的重中之重的，很多的攻擊都要基于后臺完成，找不到后臺，對一個站點的安全性提高來說太重要了；正如BTCF競賽官方平臺里把目錄進行32位MD5加密，這樣對于brup這樣的暴力破解找目錄軟件來說那簡直是噩耗?。。。?/p>

　　分析3：

　　好狠的大招，-但是也可以做到吧？？只要有心，把字典全部MD5加密后來跑吧，但是目測這個目錄的MD5解出來就困難了??！所以這個確實是個大招?。?！

　　4.自定義錯誤頁面，不是指默認的404頁面，把所有的不存在的頁面都轉成狀態200的頁面，讓北極熊類的掃描器成為廢物。

　　分析4：

　　掃描工具絕大部分都是基于頁面請求返回的狀態200 302 404 這樣的狀態值來判定這個頁面是否存在。當頁面不存在時，系統會默認跳轉到404頁面，返回404狀態值，所以后臺可以把這樣的404全部轉到202來返回，這樣欺騙了掃描軟件沒辦法找到真實的頁面；

　　5.在較深的目錄下，放入假的php asp aspx 的各種大馬，讓入侵者好不容易找到了一個大馬，用字典去爆破，讓他萬萬沒想到的卻是這個永遠也無法破解成功。

　　分析5：

　　這個好傷人感情的說，好讓人尷尬的說??！絕大部分人都想不到居然這根本就是一個虛假的木馬！

　　6.放入虛假的rar .zip  .gz 等壓縮文件，小到幾十M 大的可以是幾百M的，里面全是電影。視頻?；蛘咂渌W站的源程序。這些東西讓那些入侵者慢慢去研究吧！！

　　分析6：

　　當入侵者拿到這些文件打開后，確實很無語，很無奈啊！！但是別忘記了 最近沒多久爆出來的<利用Google爬蟲DDoS任意網站>，所以說呢。。這個還是有風險的喲??！

　　說明： 學習參照來自于IDF實驗室微博上文章?。?！感覺很有用，摘錄下來學習學習?。。?/p>