今天接着把其他apache server也做了类似nginx的rewrite处理。 在/data/webapp目录下添加.htaccess文件,这样修改rewrite规则不用重启httpd RewriteEngine OnRewriteBase /RewriteCond %{QUERY_STRING} %20and%20 [NC]RewriteCond %{QUERY_STRING} select%20 [NC]RewriteRule ^(.*) http://www.e21.cn/519.html [R] URL变量中包含and和select的请求,全部定向到错误提示页面。 apache r… 继续阅读 apache的sql-inject临时处理
标签: sql注入
sql注入
用nginx做一点sql-inject的临时处理
这几天sql-inject的量有些大,每天snort记录的扫描探测都有几万条。特别是有一些小分网站脚本陈旧,这方面的处理存在很大漏洞,的确存在一些sql-inject的漏洞,有些探测已经得到了web应用的用户管理表数据。 脚本众多,要协调程序部门修改是一个过程,很头疼。只好临时在nginx上做了一些URL判断,把符合规则的一些url访问导向到临时页面中。 nginx中内置的变量函数可以达到这个目的: nginx.conf# 定义一个错误吗和相应页面 error_page 519  … 继续阅读 用nginx做一点sql-inject的临时处理
网站安全问题(二)
系统运维和程序开发各自的独立性在安全考量方面是一个需要认真对待的问题,目前脚本人员注重的是项目开发的时效和运行之流畅,基本实现程序设计的既定流程便完了,对于程序上线后面临的安全问题了解较少认识不深,所以在开发过程中,一切以程序实现为目的,该严格定义的变量便宽松定义,该认真校验的函数数据等也没有严格判断,这样的产品在完成基本应用测试上线后,留下了相当多的漏洞,有些甚至是致命的。 同时,包括在数据库初始设计中,严重影响效率的结构规划、字段定义等也马虎而过,如该使用number的使用varchar,该使用定长的使用变长,以致产品上线后面临大量用户处理时效率低下。当然,这并在所说安全范围内,在此不做详… 继续阅读 网站安全问题(二)