现在位置: 首页 >

安全

GBK双字节编码致PHP单引号转义的SQL注入安全隐患

2011年09月15日 软件开发  ⁄ 共 836字 ⁄ 被围观 0+ /评论:+0°
GBK双字节编码致PHP单引号转义的SQL注入安全隐患 当php.ini中magic_quotes_gpc被设置为on时,提交的参数会被转义,例如,单引号会被转义成了'。一下子截断了字符型注入的路。 GBK双字节编码:一个汉字用两个字节表示,首字节对应0x81-0xFE,尾字节对应0x40-0xFE(除0x7F),刚好涵盖了对应的编码0x5C。 0xD5 0x5C 对应了汉字“誠”,于是 %d5%5c 经URL解码后为“誠”。 当我们提交参数 %d5' ,经浏览器URL编码后为%d5%27,再经PHP ... 阅读全文

网站后门的防范方法以及安全配置

2011年03月18日 IT运维  ⁄ 共 1496字 ⁄ 被围观 0+ /评论:+0°
网站后门防范是一个网站不能忽视的关键点,是网站安全工作中的重要一课。 1.后门防范基本功 首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件,为了有效地防范木马后门;第三是要学会对进程操作,时时注意系统运行状况,看看是否有一些不明进程正运行并及时地将不明进程终止掉。 2.安全配置Web服务器 如果公司或企业建立了主页,该如何保证自己的Web服务器的安全性呢? 首先要关闭不必要的服务;其次... 阅读全文

Tomcat默认不吃软连接

2010年07月12日 IT运维  ⁄ 共 271字 ⁄ 被围观 0+ /评论:+0°
由于安全方面的原因,默认情况下是不能在Tomcat的应用下面使用软连接(Symbolic Link)的,试想,在允许软连接的情况下,我们可以放一个软连接文件在应用下面,连接到到某些系统目录,读取重要的信息!如果Tomcat是用root这个用户来运行的,那么系统中就没有什么不能读取了。 如果想要允许软连接,可以通过设置应用配置文件中的 Context 元素上的 allowLinking 属性来启用这个功能: allowLinking="true" 应用... 阅读全文

Linux下Web目录和文件安全权限设置

2010年07月01日 IT运维  ⁄ 共 778字 ⁄ 被围观 1+ /评论:+1°
在Linux下,web目录和文件权限必须从整体上考虑系统的安全。一般情况下,对目录,需要设置 r(读取)和x(执行)权限,有的目录同时还需要w(写入权限);对文件,需要r(读取),有的文件需要w(写入)权限或x(执行)权限。 在Linux系统中,使用命令umask设置创建文件或目录的默认rwx权限,系统默认的umask设置是022,这个权限的计算相当于文件、目录权限的掩码,例如此时创建的目录权限755 (rwxr-xr-x),那么其umask权限相当于相对777的... 阅读全文
×
#