1, configuración de seguridad de la base de datos, como la cuenta /contraseña /permisos utilizados por su programa para conectarse a la base de datos, si está navegando en las noticias, puede usar permisos de solo lectura, puede usar diferentes cuentas /permisos para diferentes módulos Además, a los procedimientos almacenados de la base de datos se les puede llamar, pero también se les puede configurar estrictamente, no todos están deshabilitados (especialmente cmd), para evitar llamadas al sistema usando el procedimiento almacenado de la base de datos después de la inyección;
2. Al obtener los parámetros enviados por el cliente, realice un filtrado estricto, incluida la longitud del parámetro, el tipo de parámetro, etc.;
3. Protección estricta para el fondo del administrador. Si las condiciones lo permiten, debe configurarse en solo Permitir acceso de IP específico (por ejemplo, solo permitir acceso de segmento de red de administrador) — — esto debe basarse en las condiciones reales;
4, configuración de seguridad del sistema operativo para evitar la función de llamar al sistema después de la inyección Por ejemplo, transfiera
cmd.exe /tftp.exe /ftp.exe /net.exe
a todos los otros directorios y cree el directorio Asignación de privilegios;
5, configure el control de acceso a la red;
6, si es posible, configure el filtrado de contenido para HTTP, filtre los virus, los scripts maliciosos, etc .;
7. Si es necesario, puede considerar la opción de HTTPS, que puede evitar que muchas herramientas de inyección escaneen. Cuando yo mismo desarrollé la herramienta de detección de inyección, pensé en ser compatible con HTTPS, pero aún no se ha implementado.
Creo que también lo ve. En general, el programa considera principalmente los permisos, el filtrado de parámetros, etc. Los permisos incluyen principalmente los permisos de exploración de IIS y los permisos de llamadas a bases de datos. Además, tenga en cuenta la configuración de seguridad de la base de datos y el sistema operativo. Además, no sé si usará componentes desarrollados por otros durante el proceso de desarrollo, como la carga de imágenes. ¿Ha estudiado la seguridad de dichos componentes o la mayoría de la gente los usará durante el proceso de desarrollo? El código abierto proporcionado en Internet, en el libro, como la verificación de inicio de sesión del usuario, etc., estos códigos públicos, también para estudiar sus problemas de seguridad.
Hay cinco formas básicas de disipar un servidor blade. Una vez que se selecciona uno de esto
Hoy en día, todavía necesito usar un chasis súper bueno para ensamblar un servidor de gran
I. Introducción a DHCP: El nombre completo de DHCP es el Protocolo de configuración de host dinámico
¿Alguna vez se ha encontrado con esta situación? En general, no habrá enrutadores en las
Al evitar el verdadero "virtual" VMware súper práctico
Le enseñará cómo diagnosticar el rendimiento del servidor.
Hay redes en la seguridad de la red. La seguridad del servidor
Causas comunes de fallas en el servidor y solución de problemas
Cómo construir un servidor FTP estable
Servidor evita el inicio de sesión ilegal
Siete herramientas de administración de servidor de Windows gratis
Diagrama de configuración del servidor Descripción
La implementación de DHCP a menudo comete errores
Breve introducción a las herramientas de prueba de rendimiento del servidor
¿Qué debo hacer si hay un error nulo en la conexión de red de Win7?
Modo de compatibilidad del conjunto de navegadores del sistema Win7 método
¿Cómo cambiar la lista de redes Win10 al modo Win8.1?
Win8 cómo configurar la ubicación de guardado predeterminada de SkyDrive
La forma correcta de instalar las fuentes del sistema Win8
Cuatro armas mágicas acompañan a ganar 7 de seguridad
¿Qué debo hacer si Win8.1 abre la nota y muestra la advertencia de error stikynot.exe?
¿Cómo puede la interfaz de inicio de Win8 mostrar la imagen de fondo del escritorio?
Asistente de actualización de Baidu win10 cómo actualizar una clave