Task12 为Web应用添加安全性防护策略 - xueyuan123/519 GitHub Wiki

完全信赖用户提交的内容

在web目录中存放敏感数据

后门和调试隐患

越权漏洞

代码同步安全

测试环境保护

检测机制层次隐患

数据来源安全

## **2.设置本地安全策略，建立IIS日志** 在web服务器的本地安全策略设置中，将“策略更改”、“登录事件”、“对象访问”，“目录服务访问”、“特权使用”，“系统事件”、“账户登录事件”及“账户管理”作“成功、失败”的策略记录，这样可以通过事件管理器检查系统是否有被非法用户登陆或进行越权操作的行为；IIS日志可记 录来访用户的IP地址、操作系统版本、访问时间、访问目录名、访问方法及操作成功与否等信息，对分析服务器日常安令性非常有价值。但应注意必须修改其默认的存放地址．以防攻击者侵入系统后修改或删除相应的日志信息。 ## **3.添加网络防火墙，提高网络的安全性**

1、事前主动防御，智能分析应用缺陷、屏蔽恶意请求、防范网页篡改、阻断应用攻击，全方位保护WEB应用。

2、事中智能响应，快速P2DR建模、模糊归纳和定位攻击，阻止风险扩散，消除“安全事故”于萌芽之中。

3、事后行为审计，深度挖掘访问行为、分析攻击数据、提升应用价值，为评估安全状况提供详尽报表。

4、面向客户的应用加速，提升系统性能，改善WEB访问体验。

5、面向过程的应用控制，细化访问行为，强化应用服务能力。

6、面向服务的负载均衡，扩展服务能力，适应业务规模的快速壮大。

1.异常检测协议

2.增强的输入验证

3.及时补丁

## **4.验证码技术的使用**

如果没有验证码，攻击者会使用有害程序自动注册大量的 Web 服务帐户，然后攻击者可以使用这些帐户为其他的用户制造麻烦，如发送垃圾邮件或通过同时反复登录多个帐户来延缓服务的速度。然而，在大多数情况下，自动注册程序是不能很好的识别图片中的字符的。因此，为了防止攻击者编写程序来自动注册或者重复登录暴力破解密码，验证码技术应运而生。当前，很多网站为了防止用户利用机器人自动注册、登录、灌水，都采用了验证码技术。所谓验证码，就是将一串随机产生的数字或符号，生成一幅图片， 图片里加上一些干扰象素（防止OCR），由用户肉眼识别其中的验证码信息，输入表单提交网站验证，验证成功后才能使用某项功能。对于验证码的类型，常常有：文本验证码，图像验证码， 声音验证码。对于验证码的使用，服务器端随机生成验证码字符串，保存在内存中，并写入图片，发送给浏览器端显示，浏览器端输入验证码图片上字符，然后提交服务器端，提交的字符和服务器端保存的该字符比较是否一致，一致就继续，否则返回提示。攻击者编写的robot程序，很难识别验证码字符，顺利的完成自动注册，登录；而用户可以识别填写，所以这就实现了阻挡攻击的作用。而图片的字符识别，就是看图片上的干扰强度了。就实际的效果来说，验证码只是增加攻击者的难度，而不可能完全的防止。