网站建设
当前位置:主页 > 建站资讯 > 网站建设 >
web网站安全防护解决方法完成
发布日期:2021-04-05 阅读次数: 字体大小:

Web安全保护已经讨论了一些专业知识,下面我们来讨论网站安全保护中的登录密码传输,更敏感的实际操作的第二次验证,移动客户端的强身份验证,验证的错误信息以及避免方法。 暴力破解密码。 系统日志和监控等。
1.登录密码传输
登录页面和所有必须验证的后端Web页面。 必须使用SSL,TSL或其他安全传输技术浏览该页面。 原始登录页面必须使用SSL,TSL进行浏览,否则网络攻击将更改登录表单的action特性,从而导致帐户登录凭据泄漏。 如果登录后未使用SSL或TSL浏览和验证网页,则网络攻击将窃取数据加密的应用程序ID,这将严重损害客户当前的主题Activity应用程序,因此,应尝试执行 两次登录密码数据加密,然后进行发送。
2.更加敏感的实际操作二次验证
为了减轻CSRF,应用程序劫持和其他系统漏洞的危害,在升级帐户时,更敏感的信息内容(例如客户登录密码,电子邮件,交易明细, 等等。过去,必须对帐户的凭据进行身份验证。 如果没有这种对策,则网络攻击可以根据CSRFXSS攻击实施更敏感的实际操作,而无需了解客户的当前凭据。 另外,网络攻击也可以暂时触及客户。 机器设备,浏览客户的计算机浏览器,然后窃取应用程序id以连接当今的应用程序。
第三,对移动客户端的强身份验证
程序可以使用第二个元素来检查客户端是否可以执行更敏感的实际操作。 一个典型的例子是SSL,tsl手机客户端身份身份验证,别称ssl,TSL双重检查。 支票由移动客户端和服务器组成。,在SSL和TSL浪潮的整个过程中推送各自的资格证书,就像应用服务器端的资格证书要由资格证书授予组织(CA)验证网络服务器的真实性一样,网络服务器可以应用第三方cs 或其自身的CA验证客户端证书是真实有效的。 因此,服务器必须显示转换为客户端的资格证书,并为资格证书分配一个相对值,以便该值可用于确定与资格证书匹配的客户端。4.验证错误
验证失败后的错误(如果未正确维护)可用于枚举客户ID和登录密码的类型。 无论登录名或密码如何,都应以通用方式执行程序操作。 如果是错误的,则不允许命名当前的客户情况。 不正确的相关示例:登录失败,无效的登录密码; 登录失败,客户无效; 登录失败,登录名错误; 登录失败,密码错误; 适当的相关示例:登录失败,无效的登录名或登录密码。 某些程序返回的错误是相同的,但是返回的状态码是不同的。 在这种情况下,帐户的基本信息将被公开。
5.避免暴力破解密码
在Web程序的运行中实施暴力破解密码非常容易。 如果由于几次失败的验证而使程序不容易运行,则该帐户被禁止使用,则将受到网络攻击。还有机会连续猜测该登录密码,并继续强行使用该密码,直到该帐户被使用为止。 妥协。 多种处理方法包括多因素验证,SMS验证码和个人行为验证(阿里云服务器,机真等,均显示服务项)。
六。 系统日志和监视
验证信息内容的记录和监视可以轻松地检查违法和常见故障,并确保记录以下3个项目:
1.记录登录失败的所有实际操作;
2。 记录所有密码错误的实际操作;
3。 记录所有具有锁定帐户的登录信息; 以上是防止网站受到攻击的方法。 如果无法修复该漏洞,则可以咨询专业的网站安全公司。 要解决此问题,建议去SINE Security,Eagle Shield Security,Netmarble Technology,Venus Star和其他专业安全公司来解决此问题。

标签:数据加密XSS攻击别称SSL应用程序Idaction特性应用第三方CS