分类 安全 下的文章

开放API接口安全设计

早期文章:[开放API接口设计简要思路](https://www.fity.cn/post/657.html "开放API接口设计简要思路") 最后更新:2019-06-21 20:05:39 星期五 #### 开放API接口安全校验的背景: **在未进行安全处理的开放API接口存在诸多的风险问题,如以下三种常见场景:** **1、**场景一 A公司开发的开放API未对接口进行安全控制,有黑客通过爬虫程序调用开放API查询客户信息的接口,由于没有安全验证,A公司的客户数据通过客户信息查询API流出,竞争公司拥有了这批客户数据,对A公司造成损失。 **2、**场景二 A公司开发的开放API未对接口进行防篡改控制,有客户购买价值1万元的产品,现有黑客通过技术手段,对客户提交的表单进行篡改...

继续阅读 »

AdmnIX前端网站后台管理模板框架

**AdmnIX**是一款基于Bootstrap的轻量级、响应式前端后台管理框架,采用了主流的左右两栏式布局,使用了Html5+CSS3等现代技术,提供诸多可重新组合的UI组件。同时,遵循极简体验、简单灵活、兼容性好、自适应触屏手机的原则,面向所有层次的前后端程序,帮助企业极大的提高工作效率,节省开发成本,提升品牌形象。始于2018年初,为敏捷WEB应用开发和简化企业应用开发而诞生。 ![](https://www.fity.cn/usr/uploads/2019/05/20190520062206_25951.png) ![](https://www.fity.cn/usr/uploads/2019/05/20190520063306_93156.png) ##### 再见,是为了更好的再...

继续阅读 »

记一次阿里云ECS DDOS攻击。。。

早上上班还不到一小时 发现生产环境主机突然无法访问且ping不同,初步考虑是否主机白名单被篡改,经查看阿里云相关统计报表判断为DDOS攻击,经过持续半小时左右时间终恢复,本文仅用于记录不做为解决方案。 ECS主机默认情况在遭受攻击(例如DDOS)时流量超过本机房设定的黑洞阈值时,阿里云会屏蔽ECS主机的外网访问。当服务器进入黑洞一段时间后,如果系统监控到攻击流量停止,黑洞会自动解封。 **遭受攻击时网络拥塞截图如下:** ![](https://www.fity.cn/usr/uploads/2017/08/20170804063126_30779.png) *很多时候遭受DDoS攻击事件感觉不是你能做什么,而是机房决定了其实你什么都做不了,内心是深深的绝望@_@。。。* **临时解...

继续阅读 »

Nginx限制并发连接数和白名单配置-提升整体并发

背景/需求:恶意攻击、恶意采集、恶意刷页面秒杀、抢购并发连接限制、队列缓冲web下载带宽限制、web请求速率限制CC攻击Nginx连接数限制模块:说明:Nginx有很多模块、模块下面又分很多指令,下面就说说limit_conn_zone和limit_conn两指令limit_conn_zone模块指令配置Nginx http模块中添加http{  ……………………  limit_conn_zone $binary_remote_addr zone=perip:10m;  limit_conn_zone $server_name zone=perserver:10m;  server{    ……………………  }}PS:配置区域名称为perip、perserver,需要写在http里面;对于关系:key ...

继续阅读 »

免费稳定SSL证书申请及服务器HTTPS协议配置支持

免费稳定SSL证书申请网站,ssl证书服务器部署,HTTPS协议配置支持更新支持HTTPS协议的初衷/背景:谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站;苹果从 2017 年 iOS App 将强制使用 HTTPS;在国内热火朝天的微信小程序也要求必须使用 HTTPS 请求。基于上述需求实现HTTPS对于可以说是势在必行,而HTTPS的起点则是获取一张SSL证书。所以亲测了下推荐以下两个免费稳定SSL证书申请地址:1.SSL For Free:https://www.sslforfree.com默认签发有效期3个月的DV SSL证书,到期需续约。2.Let's Encrypt:https://letsencrypt.org/默认签发有效期90天的DV ...

继续阅读 »

IIS短文件名泄露漏洞 修复方法

漏洞描述:IIS短文件名泄露漏洞,Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。修复方法:方法1、修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1,或者,可以直接点此下载,然后运行,再重启下机器。(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。该修改不能完全修复,只是禁止创建推荐使用后面的修复建议方法2、如果你的web环境不需要asp...

继续阅读 »

Openvpn+MySQL自动记住/输入用户名和密码

在连接openvpn的时候每次都要输入用户名密码,感觉麻烦,无法保存,当然不自动输入用户名密码会安全点,此方法还是不建议在生产运维上使用(出于安全考虑)!方法如下(主要是修改.ovpn配置文件):  1、打开一个.ovpn的线路配置文件,使用普通的文字编辑软件即可。  2、搜索找到“auth-user-pass”,并在后面添加“passwd.txt”,如下:  修改前: auth-user-pass  修改后:auth-user-pass passwd.txt  3、再在配置文件所在目录(一般是安装目录下的config目录下),新建passwd.txt的文本文件(文件名随意,最好为英文),文件内容的第一行为你用户名,第二行为你的密码,然后保存退出。  4、再连接,此时,无需输入用户名和密码,即可连接成功。

继续阅读 »

PPTP、L2TP、IPSec和SSL VPN(如OpenVPN)的区别

VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支 持VPN协议。一、PPTP点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP...

继续阅读 »

跨站脚本攻击(XSS)漏洞 修复方法

跨站脚本攻击(XSS)漏洞漏洞描述:目标存在跨站脚本攻击。1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。危害:1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。修复方法:方法一:站在安全的角度看,必...

继续阅读 »