仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 671|回复: 8
打印 上一主题 下一主题

[CentOS(社区)] 给大家带来Web使用宁静设置基线引导

[复制链接]
再见西城 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:32:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!本文形貌了IT运维职员所保护办理的Web使用办事器应该遵守的宁静尺度,本文档旨在引导体系办理职员举行Web使用宁静基线反省。本文利用者包含:办事器体系***、使用步伐***、收集宁静***。本文合用的局限为基于B/S架构的Web使用。
第1章身份与会见把持1.1账户锁定战略宁静基线项目称号Web使用账户锁定战略宁静基线请求项宁静基线编号SBL-WebAPP-02-01-01宁静基线项申明用户登录失利必定次数后体系主动锁定账号一段工夫,以避免暴力推测暗码。检测操纵步调实验利用毛病用户名口令失利登录屡次,基线切合性判断根据用户登录失利必定次数后体系主动锁定账号。备注
1.2登任命图片考证码宁静基线项目称号Web使用登录考证战略宁静基线请求项宁静基线编号SBL-WebAPP-02-02-01宁静基线项申明用户登录需供应图片考证码,以避免流动暗码暴力推测账号。检测操纵步调反省登录认证界面输出项,并右键点击图片检察链接属性。基线切合性判断根据请求包括图片考证码输出项,而且图片链接属性不得包括明文图片考证码。备注
1.3口令传输宁静基线项目称号Web使用口令传输战略宁静基线请求项宁静基线编号SBL-WebAPP-02-03-01宁静基线项申明不克不及明文传输用户登录暗码。检测操纵步调实验登录体系,并利用抓包工具检察交互过程当中在收集传输的内容。基线切合性判断根据请求不得呈现明文口令备注
1.4保留登录功效宁静基线项目称号Web使用保留登录宁静基线请求项宁静基线编号SBL-WebAPP-02-04-01宁静基线项申明不克不及供应“保留登录”功效,该功效大概被使用于CSRF打击。检测操纵步调反省登录界面是不是供应了保留登录功效基线切合性判断根据不得供应该功效。备注
1.5纵向会见把持宁静基线项目称号Web使用纵向会见宁静基线请求项宁静基线编号SBL-WebAPP-02-05-01宁静基线项申明公道举行纵向会见把持,不同意一般用户会见办理功效。检测操纵步调懂得是不是有不同意一般用户会见的功效,实验间接在扫瞄器中会见功效链接。基线切合性判断根据用户不得跨权限会见受控页面备注
1.6横向会见把持宁静基线项目称号Web使用横向会见宁静基线请求项宁静基线编号SBL-WebAPP-02-06-01宁静基线项申明公道举行横向会见把持,不同意用户会见其他用户的敏感数据。检测操纵步调懂得是不是存在敏感信息,反省是不是对团体敏感信息举行了无效回护基线切合性判断根据用户不得跨权限检察别的用户受回护敏感信息备注
1.7敏感资本的会见宁静基线项目称号Web使用敏感资本会见宁静基线请求项宁静基线编号SBL-WebAPP-02-07-01宁静基线项申明必要限定对敏感资本的会见,比方背景办理,日记纪录等。检测操纵步调反省办事器的文件是不是存在敏感资本,测试是不是限定了这些资本的会见。基线切合性判断根据对敏感资本的会见应该受控。备注
第2章会话办理2.1会话超时宁静基线项目称号Web使用会话超时宁静基线请求项宁静基线编号SBL-WebAPP-03-01-01宁静基线项申明当用户长工夫不操纵时,体系主动停止超时会话。检测操纵步调登录体系后不操纵,守候公道的工夫距离。基线切合性判断根据请求事后计划的工夫距离后检察页面主动中断超时会话。备注
2.2会话停止宁静基线项目称号Web使用会话停止宁静基线请求项宁静基线编号SBL-WebAPP-03-02-01宁静基线项申明体系需供应“加入”功效,同意用户强迫停止以后的会话。检测操纵步调登录体系后点击体系供应的“加入”功效,然后在统一IE窗口下视图回退到登录后的页面,并会见响应的功效基线切合性判断根据点击加入后,上述检测操纵了局不乐成备注
2.3会话标识宁静基线项目称号Web使用会话标识宁静基线请求项宁静基线编号SBL-WebAPP-03-03-01宁静基线项申明会话标识必需充足随机,避免打击者推测标识或根据以后标识推导后续的标识。检测操纵步调反省多个会话标识的格局。基线切合性判断根据多个会话标识不得存在复杂了然的逻辑干系,请求具有随机性备注
2.4会话标识复用宁静基线项目称号Web使用会话标识复用宁静基线请求项宁静基线编号SBL-WebAPP-03-04-01宁静基线项申明用户登录后必需分派新的会话标识,不克不及持续利用用户未登录前所利用的标识。检测操纵步调反省登录前后是不是利用不异的会话标识。基线切合性判断根据用户登录后必需分派新的会话标识,不克不及持续利用用户未登录前所利用的标识。备注
第3章代码质量3.1提防跨站剧本打击宁静基线项目称号Web使用提防跨站剧本宁静基线请求项宁静基线编号SBL-WebAPP-04-01-01宁静基线项申明体系要避免将用户输出未经反省就间接输入到用户扫瞄器,提防跨站剧本打击。检测操纵步调反省体系是不是存在跨站剧本打击毛病。比方在可以回显的输出框输出<script>alert(“xss”)</script>基线切合性判断根据请求体系可以将输出内容中的把持字看成纯文本内容处置备注
3.2提防SQL注进打击宁静基线项目称号Web使用提防SQL注进宁静基线请求项宁静基线编号SBL-WebAPP-04-02-01宁静基线项申明体系要避免将用户输出未经反省就用于机关数据库查询,提防SQL注进打击。检测操纵步调反省体系是不是存在SQL注进毛病。比方在输出框中输出’基线切合性判断根据体系要利用诸如preparedstatement等体例避免SQL注进,将输出内容中的把持字也看成纯文本处置备注
3.3避免路径遍历打击宁静基线项目称号Web使用提防路径遍历宁静基线请求项宁静基线编号SBL-WebAPP-04-03-01宁静基线项申明体系要避免将用户输出未经反省就用于机关文件路径,避免路径遍历打击。检测操纵步调实验在URL与输出中机关文件路径并检察页面反响基线切合性判断根据不同意经由过程机关文件路径的体例间接检察文件备注
3.4避免下令注进打击宁静基线项目称号Web使用提防下令注进宁静基线请求项宁静基线编号SBL-WebAPP-04-04-01宁静基线项申明体系要避免将用户输出未经反省就用于机关操纵体系下令并实行。检测操纵步调实验在各个输出点举行下令注进打击基线切合性判断根据下令注进打击不得乐成备注
3.5避免其他罕见的注进打击宁静基线项目称号Web使用提防别的注进宁静基线请求项宁静基线编号SBL-WebAPP-04-05-01宁静基线项申明避免体系存在LDAP注进、XML注进、XPATH注进、SMTP注进等毛病。检测操纵步调实验在各个输出点举行别的罕见注进打击基线切合性判断根据各种注进打击不得乐成备注
3.6避免下载敏感资本文件宁静基线项目称号Web使用提防下载毛病宁静基线请求项宁静基线编号SBL-WebAPP-04-06-01宁静基线项申明假如体系供应了下载功效,要避免用户经由过程路径遍历毛病下载敏感资本文件。检测操纵步调假如体系供应了下载功效,试图经由过程路径遍历毛病下载敏感资本文件。基线切合性判断根据各种下载打击不得乐成备注
3.7避免上传后门剧本宁静基线项目称号Web使用提防上传毛病宁静基线请求项宁静基线编号SBL-WebAPP-04-07-01宁静基线项申明假如体系供应了文件上传功效,要避免用户上传后门剧本。检测操纵步调假如体系供应了上传功效,试图经由过程上传功效上传歹意文件。基线切合性判断根据各种上传打击不得乐成备注
3.8包管多线程宁静宁静基线项目称号Web使用多线程宁静基线请求项宁静基线编号SBL-WebAPP-04-08-01宁静基线项申明假如体系某资本可被多人同时修正,或被统一用户经由分歧的体例同时修正,或被用户线程与体系线程同时修正,必要包管多线程宁静。检测操纵步调假如体系存在多线程成绩,剖析回护多线程会见资本的宁静办理计划基线切合性判断根据必需有得当的办理计划备注
3.9包管开释资本宁静基线项目称号Web使用开释资本基线请求项宁静基线编号SBL-WebAPP-04-09-01宁静基线项申明体系需包管在一般与非常流程时都能准确开释不必要的资本,比方翻开的文件,数据库毗连等。检测操纵步调剖析一般与非常流程中资本开释的举措基线切合性判断根据资本开释掩盖一切流程分支备注
第4章内容办理4.1加密存储敏感信息宁静基线项目称号Web使用加密存储敏感信息基线请求项宁静基线编号SBL-WebAPP-05-01-01宁静基线项申明体系应该加密存储敏感信息,如暗码、信誉卡号等。检测操纵步调剖析体系中敏感信息的存储与加密基线切合性判断根据请求加密算法宁静,对信息有得当会见把持备注
4.2制止保守敏感手艺细节宁静基线项目称号Web使用信息泄露基线请求项宁静基线编号SBL-WebAPP-05-02-01宁静基线项申明体系应该制止向用户提醒过量的手艺细节,避免被打击者使用。比方毛病信息中大概包括SQL语句,这有益于打击者机关正当的打击字串;又如Html中大概包括了手艺性的正文语句,大概被打击者使用。检测操纵步调剖析各个页面的源码,检察提醒页面,特别是堕落提醒页面基线切合性判断根据各个页面不得包括手艺性正文,各个提醒页面不得包括Web办事器版本、源代码等信息备注
第5章防垂纶与防渣滓邮件5.1防垂纶宁静基线项目称号Web使用重定向基线请求项宁静基线编号SBL-WebAPP-06-01-01宁静基线项申明体系应该制止经由过程用户把持的参数来重定向或包括别的一个网站的内容。检测操纵步调剖析体系存在恣意重定向或包括别的网站内容的把持基线切合性判断根据不得由用户把持的参数天生重定向备注
5.2防渣滓邮件宁静基线项目称号Web使用渣滓邮件基线请求项宁静基线编号SBL-WebAPP-06-02-01宁静基线项申明假如体系供应了发送邮件的功效,应该避免被使用于发送渣滓邮件。检测操纵步调反省体系发送邮件功效基线切合性判断根据不得存在滥用此功效的大概备注
第6章暗码算法6.1宁静算法宁静基线项目称号Web使用宁静算法基线请求项宁静基线编号SBL-WebAPP-07-01-01宁静基线项申明假如体系接纳了暗码算法,应该接纳宁静的暗码算法,且切合算法的使用场景。检测操纵步调反省一切体系中利用的宁静算法基线切合性判断根据不得利用已被证实为不宁静的算法大概自界说不宁静算法备注
6.2密钥办理宁静基线项目称号Web使用密钥办理基线请求项宁静基线编号SBL-WebAPP-07-02-01宁静基线项申明假如体系接纳了暗码算法,且具有密钥,那末应该有文档化的密钥办理举措并严厉依照实行。检测操纵步调反省一切体系中利用的密钥办理基线切合性判断根据不得利用不宁静的密钥办理举措备注
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
冷月葬花魂 该用户已被删除
沙发
发表于 2015-1-16 19:53:22 来自手机 | 只看该作者

给大家带来Web使用宁静设置基线引导

其实老师让写心得我也没怎么找资料应付,自己想到什么就写些什么,所以不免有些凌乱;很少提到编程,因为那些在实验报告里已经说了,这里再写就多余了。
乐观 该用户已被删除
板凳
发表于 2015-1-24 23:09:14 | 只看该作者
用户下达的命令解释给系统去执行,并将系统传回的信息再次解释给用户,估shell也称为命令解释器,有关命令的学习可参考论坛相关文章,精通英文也是学习Linux的关键。
admin 该用户已被删除
地板
发表于 2015-2-2 17:52:57 来自手机 | 只看该作者
下面看看一个让人无法回答的问题:“救命各位高手,向你们请教一些问题:如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器,谢谢”这样的问题。
小魔女 该用户已被删除
5#
发表于 2015-2-8 05:59:44 | 只看该作者
尽量不要提问纯属是扯蛋.学习Linux特别是自己一个人初学入手的时候没人教很困难.当然如果可以的话平时多去买些Linux书...对学习Linux很有帮助.
兰色精灵 该用户已被删除
6#
发表于 2015-2-25 00:46:51 | 只看该作者
一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了,因为有的头文件在VC里面说找不到。?
精灵巫婆 该用户已被删除
7#
发表于 2015-3-7 18:50:55 | 只看该作者
下面看看一个让人无法回答的问题:“救命各位高手,向你们请教一些问题:如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器,谢谢”这样的问题。
柔情似水 该用户已被删除
8#
发表于 2015-3-15 19:12:45 | 只看该作者
就这样,我们一边上OS理论课,一边上这个实验,这样挺互补的,老师讲课,一步一步地布置任务
再现理想 该用户已被删除
9#
发表于 2015-3-22 04:30:50 | 只看该作者
一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了,因为有的头文件在VC里面说找不到。?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-11-16 09:38

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表