| 首页 | 繁体中文 | 我要投稿 | 建议留言 |
软文投稿发布自助友情链接网站快审中旺数据广告招租广告招租广告招租网站收录大全广告招租广告招租

广告联系QQ:190323122  中旺网址文章频道电脑网络web网站安全防护解决方案

web网站安全防护解决方案

文章分类:电脑网络   作者:admin   来源:中旺网址   时间:2020/5/25 22:59:36   人气:103   转摘文章请注明出处,投稿广告投放请联系QQ190323122

 Web安全保护已经讨论了一些专业知识。 让我谈谈站点安全保护中的登录密码传输,更敏感的实际操作的二次验证,移动客户端的强身份验证,验证的信息不正确,避免暴力破解密码,系统日志和监视等。
1.登录密码传输

登录页面以及必须在后端进行验证的所有网页。 必须使用SSL,TSL或其他安全传输技术浏览该页面。 必须使用SSL或TSL浏览原始登录页面,否则网络攻击将更改登录表单的操作特征,从而导致帐户登录凭据被泄露。 如果未使用SSL和TSL登录后浏览和验证网页,则网络攻击将窃取未加密的应用程序ID,这将严重损害客户当前的主题活动应用程序。 第二数据被加密然后传输。

2.对更敏感的实际操作进行二次验证

为了减轻诸如CSRF和应用程序劫持之类的系统漏洞的危害,必须在升级帐户的敏感信息内容(例如客户登录密码,电子邮件,销售和购买详细地址等)之前对帐户凭据进行身份验证。  )。 在不了解客户当前凭证的情况下,有可能根据CSRF和XSS攻击进行更敏感的实际操作。 此外,网络攻击还可以暂时触摸客户端设备,浏览客户的计算机浏览器,然后窃取应用程序ID以与当今的应用程序接口。

3.对移动客户端的强身份验证

第二个元素可以应用于程序的操作,以检查客户是否可以执行更敏感的实际操作。 典型示例是SSL,TSL移动客户端身份认证,昵称SSL,TSL双重校对,这是由移动客户端和服务器组合执行的,在整个SSL和TSL浪潮中推送单独的资格证书,就像应用服务器端资格认证一样 如果证书想要将资格证书授予组织(CA)以验证Web服务器的真实性,则Web服务器可以应用第三方CS或其自己的CA。验证客户端证书是真实有效的。 因此,服务器必须将转换后的资格证书提供给客户端,并为证书分配一个相对值,以利于使用此值来确定其资格证书匹配的客户端。

四,验证错误

如果未正确维护失败验证后的错误,则可以使用该错误枚举客户ID和登录密码的类型。 编程操作应以一般方式进行。 无论登录名或密码是否错误,今天都无法表示该名称。 客户的情况。 相对实例不正确:登录失败,登录密码无效; 登录失败,客户端无效; 登录失败,登录名错误; 登录失败,密码错误; 适当的相对实例:登录失败,无效的登录名或登录密码。 某些程序返回的错误是相同的,但是返回的状态码是不同的。 在这种情况下,帐户的基本信息也将被公开。

5.避免暴力破解密码

Web程序上的强行使用密码是一项非常简单的任务。 如果该程序不容易运行,并且由于验证失败而被禁止帐户,那么网络攻击将有机会继续猜测登录密码并持续进行暴力破解密码,直到捕获帐户为止。 广泛的处理方法包括多元素验证,SMS验证代码和个人行为检查(阿里云服务器,极限测试等均显示服务项)。

六,系统日志与监控

记录和监视验证信息的内容可以轻松地检查违法行为和常见错误,并确保记录以下三个内容:

1.记录所有登录失败的实际操作;

2.记录实际操作中所有密码错误;

3.记录所有锁定的帐户登录; 以上是防止网站受到攻击的所有方法。 如果确实无法修复该漏洞,则可以咨询专业的网站安全公司来解决它。

文章web网站安全防护解决方案由本站会员【admin】发表 
上一篇:网站SEO策略,关键词选择的原...  下一篇:加入中旺网址对你的网站有什么好... 

更多 【相关文章浏览】

【每日阅读排行】

【每日热门站点】