浏览模式: 普通 | 列表

ASP设置Cookie的HttpOnly属性

[ 2016-08-31 10:13:35 | 作者: admin ]
为防止攻击者利用网站XSS漏洞获取网站cookie(如果管理员cookie被获取,攻击者有可能登录网站后台)。可以在cookie中增加httponly属性。

ASP实现方法如下:

当需要向浏览器写入Cookie时,利用Response.AddHeader代替Response.Cookies("X")="Y"
Response.AddHeader "Set-Cookie", "mycookie=1981; Path=/; HttpOnly"

关于httponly的说明,参见:
使用HttpOnly提升Cookie安全性 http://blog.csdn.net/zzzmmmkkk/article/details/10862949


cookie的过期
response.Cookies("mycookie")=""
...

阅读全文…

PHP设置Cookie的HTTPONLY属性

[ 2016-08-31 10:12:21 | 作者: admin ]
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。
        大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不怀好意的人的程序在浏览器里运行!如果是现在满天飞的流氓软件,那没有办法,httponly也不是用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问题。试想,一个flash程序在你的浏览器里运行,就可以获得你的cookie的!
        IE6的SP1里就带了对httponly的支持,所以相对还说还是些安全性。
...

阅读全文…
这几天看到很多人问discuz uc.key 泄露导致代码注入漏洞uc.php的解决方法,也看了最近大家提供的一些解决方案,对比文件后发现最新版本的uc.php已经修复了大家说的问题,但阿里云一样有相关的提示,下面提供下相关的修改说明,大家可以试试看

首先找到这个文件/api/uc.php

第一处修改
         if(!API_UPDATEBADWORDS) {
                     return API_RETURN_FORBIDDEN;
                     }
                     $data = array();
                     if(is_array($post)) {
                     foreach($post as $k => $v) {
         //dz uc-key修改开始
...

阅读全文…
以下就是Windows 2003 + IIS 下,如何在PHP扩展里打开openssl支持的方法:

1、在c:\windows\php.ini中
将;extension=php_openssl.dll前面分号(注释)去掉

2、复制php安装目录中的以下2个文件:

libeay32.dll
ssleay32.dll

复制到 C:\windows\system32

3、复制PHP\ext目录中的 php_openssl.dll 至 C:\windows\system32
4、重启IIS


=====================================================
isapi方式需要指定变量 PATH 和 PHPRC
遇到问题:如果没有生效,首先看php.ini是否成功加载,在phpinfo()中看 Configuration File (php.ini) Path (none)
...

阅读全文…

关于系统运维监控的几点建议

[ 2016-08-05 22:22:21 | 作者: admin ]
目前很多企业信息化系统都有自己的监控平台和监控手段,无论是采用哪种手段去实现对系统的实时监控和故障告警,大多采用的方式也只有两种:集中式监控和分布式监控。本文作者根据自身公司监控存在的问题,总结了一些经验并提出一些在监控平台的建议,以供大家参考学习,如有考虑不周的地方还希望大家多多批评指正。

为了更好、更有效的保障系统上线后的稳定的运行。对于服务器的硬件资源、性能、带宽、端口、进程、服务等都必须有一个可靠和可持续的监测机制,统计分析每天的各种数据,从而能及时反映出服务器哪里存在性能瓶颈、安全隐患等。另外是要有危机意识,就是了解服务器有可能出现哪些严重的问题,出现这些问题后该如何去迅速处理。比如数据库的数据丢失,日志容量过大,被黑客入侵等等。

一、上线之前的准备工作

1、首先是备份,做好定时备份策略,备份所有你认为重要的数据,并且定期检查你的备份是否有效、全面;

2、日志轮换,无论你想用哪种轮换方式,控制日志增长避免驱动器已满是你的目的;
...

阅读全文…
p.s. 较新版本的nginx中默认已经加载了 ngx-http-geo-module 和 ngx-http-map-module ,所以不必再额外添加模块。
另外,如果修改nginx.conf没有生效,-s reload无法生效的话需要干掉所有nginx进程,重新打开nginx 。参考: http://blog.xg98.com/article.asp?id=2656

在没有人为操作删除的情况下(without-http_geo_module),nginx默认模块中已经加载了ngx-http-geo-module相关内容;
ngx-http-geo-module可以用来创建变量,变量值依赖于客户端 ip 地址;
ngx-http-map-module可以基于其他变量及变量值进行变量创建,其允许分类,或者映射多个变量到不同值并存储在一个变量中;
...

阅读全文…
p.s. nginx里面有2个模块可以限制客户端的访问频率:limit_req和limit_conn ,具体的区别可以再查,这里只讲述 limit_req ,一般也够用了。
p.s. 如果修改配置不生效,需要杀进程重新开 nginx 。参考: http://blog.xg98.com/article.asp?id=2656


本文介绍下,nginx环境中使用Limit Requests模块,限制单个IP请求速率的方法,有需要的朋友,参考下吧。

Limit Requests模块可以限制单个客户端发送请求的速率。

示例配置如下:
http {
     limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
     server {
             location ~ .*\.(php|php5)?$
...

阅读全文…

nginx geo使用方法

[ 2016-08-03 14:37:18 | 作者: admin ]
geo指令使用ngx_http_geo_module模块提供的。默认情况下,nginx有加载这个模块,除非人为的 --without-http_geo_module。 ngx_http_geo_module模块可以用来创建变量,其值依赖于客户端IP地址。 geo指令 语法: geo [$address] $variable { ... } 默认值: — 配置段: http 定义从指定的变量获取客户端的IP地址。默认情况下,nginx从$remote_addr变量取得客户端IP地址,但也可以从其他变量获得。


geo $remote_addr $geo {
                default 0;
                127.0.0.1 1;
}
geo $http_client_ip $geo {
                default 0;
                127.0.0.1 1;
}