澳门新浦京娱乐场网站-www.146.net-新浦京娱乐场官网
做最好的网站

澳门新浦京娱乐场网站:CentOS下搭建WordPress网址

有些人可能认为,在线安全正在朝着更坏的方向改变。随着Web设备在企业中流行开来,它们也成为黑客的宠儿。

一、前言

导读:原文来自《 Best “must know” open sources to build the new Web 》,译文由酷壳网陈皓整理编译《澳门新浦京娱乐场网站, 开源中最好的Web开发的资源 》。文中收集的资料相当的齐全,供大家学习、参考。

学习HTML 5编程和设计

澳门新浦京娱乐场网站 1

★ HTML5 Rocks : Major Feature Groups的学习HTML5的资源(HTML5演示,教程). 源码

很不错的HTML5 Dashboard –Mozilla,效果很炫。

WhatWG Developers ,一个清楚的HTML5技术规格说明书。

★ StackOverflow :大名鼎鼎的技术问答式论坛。

★ Addyosmani , jQuery和JavaScript文章教程

Sohtanaka , jQuery和JavaScript文章和教程

★ Nettuts  是一个面对Web开发人员和设计人员的网站,提供各种技术教程和文章,覆盖HTML, CSS,Javascript,CMS’s, PHP 和 Ruby on Rails.

Codrops ,教程和web资源

WebAppers ,最好的开源资源

Tutorialzine –PHP MySQL jQuery CSS 教程,资源和赠品

Mozilla JavaScript guide

codes snippets ,作者自己收集的一些代码片段

服务器端的软件

澳门新浦京娱乐场网站 2

★ Node.js 是服务器端的JavaScript环境,其使用了异步事件驱动模式。其让Node.js在很多互联网应用体系结构下获得非常不错的性能。源码 和实时演示。

PhantomJS 也是一个服务器端的 JavaScript API的WebKit。其支持各种Web标准:DOM处理, CSS 选择器, JSON, Canvas, 和 SVG

Lighttpd 一个轻量级的开源Web服务器。新闻,文档,benchmarks, bugs, 和 download. Lighttpd 支撑了几个非常著名的 Web 2.0 网站,如:YouTube, wikipedia 和 meebo.

NGinx , 性能巨高无比的轻量级的Web服务器。比Apache高多了。花了6年的时间,终于走到了1.0版。

Apache HTTP Server 是一个很流行的并支持多个流行的操作系统的Web服务器。

★ PHP 可能是最流行的服务器端的Web脚本动态处理语言。

当然,还有 Ruby Python Erlang Perl Java .NET Android C  Go , Fantom ,CoffeeScript澳门新浦京娱乐场网站:CentOS下搭建WordPress网址及安全设置,支付业变局。 , …

PHP 框架和工具

澳门新浦京娱乐场网站 3

★ WordPress 是一个基于博客系统的开源软件。参看《WordPress是怎么赢的? 》

Drupal 是一个内容管理系统 (CMS).

Centurion 是一个新出现的开源 CMS ,一个灵然的 PHP5 Content Management Framework. 使用 Zend Framework, 其组件坚持通用,简单,清楚和可重用的设计原则。

phpBB 一个开源的论坛(国内的Discuz!更多)

★ SimplePie : 超快的,易用的,  RSS  和 Atom feed PHP解析。

★ PHPthumb , PHP 图片处理库

★ PHPMailer 强大的全功能的PHP邮件库

PubSubHubbub 协议,一个简单,开放, server-to-server 的 pubsub (publish/subscribe) 协议——Atom and RSS的扩展。

更多的请参看–20个你应该知道PHP库 和 9个强大免费的PHP库

数据库

澳门新浦京娱乐场网站 4

★ Apache CouchDB 是一个面向文档的数据库管理系统。它提供以JSON 作为数据格式的REST 接口来对其进行操作,并可以通过视图来操纵文档的组织和呈现。.源码 .

MonoQL 是一个采用PHP ExtJS开发的MySQL数据库管理工具。界面极像一个桌面应用程序,支持大部分常用的功能包括:表格设计,数据浏览/编辑,数据导入/导出和高级查询等。

MariaDB 是MySQL 的一个分支,由MySQL 创始人Monty Widenius 所开发。GPL,用来对抗Oracle所有的MySQL的license的不测。自Oracle收购SUN以来,整个社区对于MySQL前途的担忧就没有停止过。

★ SQLite 不像常见的客户端/服务器结构范例,SQLite引擎不是个程序与之通信的独立进程,而是连接到程序中成为它的一个主要部分。所以主要的通信协议是在编程 语言内的直接API调用。这在消耗总量、延迟时间和整体简单性上有积极的作用。整个数据库(定义、表、索引和数据本身)都在宿主主机上存储在一个单一的文 件中。它的简单的设计是通过在开始一个事务的时候锁定整个数据文件而完成的。库实现了多数的SQL-92标准,包括事务,就是代表原子性、一致性、隔离性 和持久性的(ACID),触发器和多数的复杂查询。不进行类型检查。你可以把字符串插入到整数列中。某些用户发现这是使数据库更加有用的创新,特别是与无 类型的脚本语言一起使用的时候。其他用户认为这是主要的缺点。

SQL 在线设计编辑器 ,这一节的那个图片就是这个在线编辑器的样子了。一个画数据库图表的在线工具。很强大。

API 和在线数据

澳门新浦京娱乐场网站 5

ProgrammableWeb , 最流行的Web Services 和 API 目录大全。

Google Data Protocol 一组Google服务的数据服务API。

Yahoo! Developer Network – APIs 和 Tools

Yahoo! Pipes 可视化在线编程工具,它是一个用于过滤、转换和聚合网页内容的服务。

★ The Yahoo! Query Language 一个很像 SQL的网页查询工具。

在线代码和媒体编辑器

澳门新浦京娱乐场网站 6

★ CodeRun Studio 一个基于JavaScript语言开发的跨平台的集成开发环境,它立足于云计算的设计思路,方便开发者在浏览器端便可以轻松开发、调试和部署网络应用程序。(参看《Coderun.com 在线开发IDE 》)

Cloud9 IDE – 一个基于Node.JS构建的JavaScript程序开发Web IDE。它拥有一个非常快的文本编辑器支持为JS, HTML, CSS和这几种的混合代码进行着色显示。

★ jsFiddle – Javascript的在线运行展示框架,这个工具可以有效的帮助web前端开发人员来有效分享和演示前端效果,其简单而强大 (JavaScript, MooTools, jQuery, Prototype, YUI, Glow and Dojo, HTML, CSS)

Akshell , 一种云服务,它使用服务端的JavaScript和在线的IDE帮助开发者进行快速应用程序开发。 它还提供云托管,所以部署是即时的。

JSONeditor , 一个好用的JSON 编辑器

★ TinyMCE 一个轻量级的基于浏览器的所见即所得编辑器,支持目前流行的各种浏览器,由JavaScript写成。

Ext Designer 是一个桌面应用工具,帮助你快速开发基于ExtJS 的用户界面。

★  LucidChart ,一款基于最新的html5技术的在线图表绘制软件,功能强大,速度快捷,运行此软件需要支持html5的浏览器。

Balsamiq Mockups , 产品设计师绘制线框图或产品原型界面的利器。

Color Scheme Designer 3 - 一个免费的线上调色工具

★ Pixlr , 是一个来自瑞典基于Flash的免费在线图片处理网站。除了操作介面和功能接近Photoshop,还是多语言版本,支持简体中文。(以前酷壳介绍过)

Aviary , 是一个基于HTML5 的在线图片处理工具,可以很容易的对图片进行后期处理。 Aviary API

Favicon Generator , 线上favicon(16×16)制作工具。

代码资源和版本控制

澳门新浦京娱乐场网站 7

★ GitHub 是一个用于使用Git版本控制系统的项目的基于互联网的存取服务。

Git 是一个由Linus为了更好地管理linux内核开发而创立的分布式版本控制/软件配置管理软件。其巨快无比,高效,采用了分布式版本库的方式,不必服务器端软件支持,使源代码的发布和交流极其方便。

Google Code 谷歌公司官方的开发者网站,包含各种开发技术的API、开发工具、以及开发技术参考资料。

Google Libraries API Google 将优秀的 JavaScript 框架部署在其 CDN 上,在我们的网站上使用 Google Libraries API 可以加速 JavaScript 框架的加载速度。

Snipplr 一个开放的源代码技巧分享社区,号称Code 2.0。和一般的源码分享网站不同,它针对的并不是大型网站源码,而是一些编程的代码技巧。

JavaScript 桌面应用框架

澳门新浦京娱乐场网站 8

★ jQuery 是一个快速、简单的JavaScript library, 它简化了HTML 文件的traversing,事件处理、动画、Ajax 互动,从而方便了网页制作的快速发展。 源码 , API , API浏览 , 很不错的文档 .

★ 官方的 jQuery User Interface (UI) library (演示和文档). 源码 ,Themes Roller , Download .

YUI 2 — Yahoo! User Interface Library

Mootools , 一个超级轻量级的 web2.0 JavaScript framework

Prototype 提供面向对象的Javascript和AJAX

Dojo The Dojo Toolkit,一个强大的无法被打败的面向对象JavaScript框架。主要由三大模块组成:Core、Dijit、DojoX。Core提供 Ajax,events,packaging,CSS-based querying,animations,JSON等相关操作API。Dijit是一个可更换皮肤,基于模板的WEB UI控件库。DojoX包括一些创新/新颖的代码和控件:DateGrid,charts,离线应用,跨浏览器矢量绘图等。

★ Ext JS 4 , 业内最强大的 JavaScript framework。

PHP.js , 一个开源的JavaScript 库,它尝试在JavaScript 中实现PHP 函数。在你的项目中导入PHP.JS 库,可以在静态页面使用你喜欢的PHP 函数。

JavaScript 移动和触摸框架

澳门新浦京娱乐场网站 9

★ jQuery Mobile : 是 jQuery 在手机上和平板设备上的版本。jQuery Mobile 不仅会给主流移动平台带来jQuery核心库,而且会发布一个完整统一的jQuery移动UI框架。支持全球主流的移动平台。jQuery Mobile开发团队说:能开发这个项目,我们非常兴奋。移动Web太需要一个跨浏览器的框架,让开发人员开发出真正的移动Web网站。我们将尽全力去满 足这样的需求。 Sources .

Zepto.js Zepto.js 是支持移动WebKit浏览器的JavaScript框架,具有与jQuery兼容的语法。2-5k的库,通过不错的API处理绝大多数的基本工作。 Sources.

MicroJS : Microjs网站应用列出了很多轻量的Javascript类库和框架,它们都很小,大部分小于5kb。这样你不需要因为只需要一个功能就要加载一个JS的架。

★ PhoneGap :是一款开源的手机应用开发平台,它仅仅只用HTML和JavaScript语言就可以制作出能在多个移动设备上运行的应用。 Sources .

★ Sencha Touch Sencha Touch 是一个支持多种智能手机平台(iPhone, Android, 和BlackBerry)的 HTML5 框架。Sencha Touch可以让你的Web App看起来像Native App。美丽的用户界面组件和丰富的数据管理,全部基于最新的HTML5和CSS3的 WEB标准,全面兼容Android和Apple iOS设备。

JQtouch , 是一个jQuery 的插件,主要用于手机上的Webkit 浏览器上实现一些包括动画、列表导航、默认应用样式等各种常见UI效果的JavaScript 库。Sources .

DHTMLX Touch 针对移动和触摸设备的JavaScript 框架。DHTMLX Touch基于HTML5,创建移动web应用。它不只是一组UI 小工具,而是一个完整的框架,可以针对移动和触摸设备创建跨平台的web应用。它兼容主流的web浏览器,用DHTMLX Touch创建的应用,可以在iPad、iPhone、Android智能手机等上面运行流畅。

什么是SQL注入

SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

摘要:国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞229个,互联网上出现NetGEarDGN2201 dnslookup.cgi远程命令执行漏洞、WordPress Kama插件Click CounterSQL注入漏洞等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理...

由于越来越多的公司网站运行Drupal等开源设备且运用由WordPress技术支持的企业博客,可能遭受攻击和承受高代价利用的受害者也越来越多。960网格系统和Learning jQuery都费劲地学习过这一课。在这些公司严肃地看待固化开源平台之前,令人尴尬且代价及高的攻击造成了大破坏。其它没有采取适当预前措施来隔绝这些危胁的公司会面临相同的命运。

二、环境

SQL注入实例

很多Web开发者没有意识到SQL查询是可以被篡改的,从而把SQL查询当作可信任的命令。殊不知,SQL查询是可以绕开访问控制,从而绕过身份验证和权限检查的。更有甚者,有可能通过SQL查询去运行主机系统级的命令。

下面将通过一些真实的例子来详细讲解SQL注入的方式。

考虑以下简单的登录表单:

<form action="/login" method="POST">
<p>Username: <input type="text" name="username" /></p>
<p>Password: <input type="password" name="password" /></p>
<p><input type="submit" value="登陆" /></p>
</form>

我们的处理里面的SQL可能是这样的:

username:=r.Form.Get("username")
password:=r.Form.Get("password")
sql:="SELECT * FROM user WHERE username='" username "' AND password='" password "'"

如果用户的输入的用户名如下,密码任意

myuser' or 'foo' = 'foo' --

那么我们的SQL变成了如下所示:

SELECT * FROM user WHERE username='myuser' or 'foo' = 'foo' --'' AND password='xxx'

在SQL里面--是注释标记,所以查询语句会在此中断。这就让攻击者在不知道任何合法用户名和密码的情况下成功登录了。

对于MSSQL还有更加危险的一种SQL注入,就是控制系统,下面这个可怕的例子将演示如何在某些版本的MSSQL数据库上执行系统命令。

sql:="SELECT * FROM products WHERE name LIKE '%" prod "%'"
Db.Exec(sql)

如果攻击提交a%' exec master..xp_cmdshell 'net user test testpass /ADD' --作为变量 prod的值,那么sql将会变成

sql:="SELECT * FROM products WHERE name LIKE '%a%' exec master..xp_cmdshell 'net user test testpass /ADD'--%'"

MSSQL服务器会执行这条SQL语句,包括它后面那个用于向系统添加新用户的命令。如果这个程序是以sa运行而 MSSQLSERVER服务又有足够的权限的话,攻击者就可以获得一个系统帐号来访问主机了。

虽然以上的例子是针对某一特定的数据库系统的,但是这并不代表不能对其它数据库系统实施类似的攻击。针对这种安全漏洞,只要使用不同方法,各种数据库都有可能遭殃。

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞229个,互联网上出现“NetGEarDGN2201 dnslookup.cgi远程命令执行漏洞、WordPress Kama插件Click CounterSQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

如果你已经考虑把开源设备作为企业的一部分,我们这里为你列出了一些开源Web设备造成的安全故障并提出了解决方案。

三、基本配置

如何预防SQL注入

也许你会说攻击者要知道数据库结构的信息才能实施SQL注入攻击。确实如此,但没人能保证攻击者一定拿不到这些信息,一旦他们拿到了,数据库就存在泄露的危险。如果你在用开放源代码的软件包来访问数据库,比如论坛程序,攻击者就很容易得到相关的代码。如果这些代码设计不良的话,风险就更大了。目前Discuz、phpwind、phpcms等这些流行的开源程序都有被SQL注入攻击的先例。

这些攻击总是发生在安全性不高的代码上。所以,永远不要信任外界输入的数据,特别是来自于用户的数据,包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样,就算是正常的查询也有可能造成灾难。

SQL注入攻击的危害这么大,那么该如何来防治呢?下面这些建议或许对防治SQL注入有一定的帮助。

严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害。
检查输入的数据是否具有所期望的数据格式,严格限制变量的类型,例如使用regexp包进行一些匹配处理,或者使用strconv包对字符串转化成其他基本类型的数据进行判断。
对进入数据库的特殊字符('"尖括号&*;等)进行转义处理,或编码转换。Go 的text/template包里面的HTMLEscapeString函数可以对字符串进行转义处理。

所有的查询语句建议使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中,即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query,或者
Exec(query string, args ...interface{})
也就是我们常说的【使用预编译语句 】
例如如下句子,可以有效防止注入漏洞:
select * from user where nick = ? and pwd = ?

在应用发布之前建议使用专业的SQL注入检测工具进行检测,以及时修补被发现的SQL注入漏洞。网上有很多这方面的开源工具,例如sqlmap、SQLninja等。
避免网站打印出SQL错误信息,比如类型错误、字段不匹配等,把代码里的SQL语句暴露出来,以防止攻击者利用这些错误信息进行SQL注入。

  一周信息安全要闻速览

开源Web设备中的常见故障

1.搭建LAMP环境

总结

通过上面的示例我们可以知道,SQL注入是危害相当大的安全漏洞。所以对于我们平常编写的Web应用,应该对于每一个小细节都要非常重视,细节决定命运,生活如此,编写Web应用也是这样。


澳门新浦京娱乐场网站 10

像你一样,黑客喜欢开源设备免费且容易访问给定“开放”源代码这些优点。举例来说,如果黑客能部署脚本来盗取信息或控制单一硬件上的Web设备,他很容易就能复制这些破坏性的结果来影响用户或分享同一代码库的多个网站。以下是原因:

2.安装WordPress

参考链接

  • 避免 SQL 注入, by wuyuanwei
  • Web 攻击与防护, by liuwulin
  • 浏览器的同源策略
  • 总结 XSS 与 CSRF 两种跨站攻击
  • XSS 攻击入门
  • 关于Web安全,99%的网站都忽略了这些, by wilddog
  • 预防跨站点请求伪造:了解浏览器选项卡中的隐藏危险
  • CSRF 攻击的应对之道

巨变:传统手刷或遭淘汰 非接功能手刷将被热捧!

很多开源设备依赖于容易被利用的老版脚本语言。插入开源设备的模块必须和总项目分开来维持。由于没有修补,这些模块会造成整个设备的问题。

3.安装phpMyAdmin

  “降级交易”始终属于过度,央妈觉得过渡期已经够长的了,于是2016年6月13日,央行下发特急文件《中国人民银行关于进一步加强银行卡风险管理的通知》,通知中规定:自2017年5月1日起,全面关闭芯片磁条复合卡的磁条交易。各商业银行应采取换卡不换号、实时发卡等措施加快存量磁条卡更换为金融IC卡的进度。>;>;详细

小一些的开源项目通常在长时间都是未修补的状态。这个扩展的窗口让你的文件处于被利用的高度危险中。

四、安全配置

澳门新浦京娱乐场网站 11

黑客创建专门造成设备故障的僵尸程序。当孜孜不倦的“工人”大军日以继夜地尝试着参透密码时,很容易就完成了利用。

1.身份验证

央行发文规范聚合支付 这四方面是核心

锁定管理级特权是让网络盗贼能够轻易危害代码的常见疏忽。XML-RPC之类的程序调用被频繁利用,跨站脚本攻击和SQL注入攻击常给开源平台带来麻烦。

2.来源控制

  严格规范聚合支付服务商业务合作,收单机构和聚合支付服务商等外包服务机构开展业务合作的,应当严格执行《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发〔2015〕199号)相关规定。收单机构应当对聚合支付服务商进行全面尽职调查并审慎选择合作机构,通过协议禁止并采取有效措施防止业务转让或转包。>;>;详细

锁定开源Web设备

3.加密访问(https)

澳门新浦京娱乐场网站 12

了解就成功了一半,锁定开源Web设备的策略很多。为了在你的在线业务获得成功并得到终端用户的信任,适当的保护很重要。

五、测试

银联二维码互联互通银行 支付格局或将大变

让我们用两个公司范例来做背景,讨论一下常见的开源破坏及我们为达更好的保护级别所能做的事情。


  从消费者角度看,应用服务方是银联二维码支付安全上至关重要的一环。应用服务方在开展二维码业务前,需要通过银联指定机构认证,并且完成业务开通测试。在绑卡环节中,通过特定的持卡人身份验证方式完成实名认证,也必须确保实名认证用户和绑定银联卡持卡人的一致性。>;>;详细

当运行Textpattern CMS时,960网格系统经历了危害操作系统的攻击。破坏给这些坏人提供完全的服务器和FTP访问,一旦黑客进入,他们上载了到网站的恶意且令人尴尬的图片,目的是造成不良的搜索引擎优化利益。这类攻击很难发现,因为对公共访客来说,这个网站表面上运行平衡正确。运行开源Web设备时,有大量技巧可以保护960网格系统不受这些问题的危害:

一、前言

澳门新浦京娱乐场网站 13

设备固化包括操作系统和数据库)。操作系统和数据库安装应该仔细完成。避免默认设置并保持严格的许可控制。重命名文件扩展名来掩饰设备类型,并移除所有非必要的功能及特征以关闭尽可能多的虚拟“漏洞”。另外就是补丁、补丁再补丁了。特别是在开源环境中,更新成功防止了危害。相同的规则还应用在脚本语言中,这些语言可能在服务器上运用。服务器固化。移除信息如应答标题),它们可能帮助僵尸程序或攻击识别服务器上运行着的设备版本及类型。频繁修补并执行服务器日志的人工检查会帮助识别不寻常状况。

LAMP即Linux Apache Mysql PHP,一组常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。随着开源潮流的蓬勃发展,开放源代码的LAMP已经与J2EE和.Net商业软件形成三足鼎立之势,并且该软件开发的项目在软件方面的投资成本较低,因此受到整个IT界的关注。从网站的流量上来说,70%以上的访问流量是LAMP来提供的,LAMP是最强大的网站解决方案.

Trustwave:中国制GSM语音网关存在Root权限后门

强有力的密码和访问控制。使用包含数字、大小写字母和特殊字符的密码,千万不要用字典术语。此外,有规律地重置它们。控制到管理密码的访问并只根据需求授予数据库证书。决不要使用数据库用户的SA或根帐户,限制所有公共及端口访问来设置管理员区域,并禁止向除了80/443之外的的任何端口开放服务器,这些在各自通过HTTP/HTTPS传递网页时都很需要。

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。WordPress 是一个免费的开源项目,在GNU通用公共许可证下授权发布。WordPress 被认为是Michel Valdrighi所开发的网志平台b2/cafelog的正式继承者。“WordPress”这个名字出自 Christine Selleck 的主意,他是主要开发者Matt Mullenweg的朋友。

  负责向用户发送challenge的代码就位于设备ROM中的“sbin/login”下,通过对这些代码的逆向分析,安全人员发现只要有challenge的值,黑客就可以计算出对应的MD5哈希值,做出response,完成登录。而challenge完全可以通过一些自动脚本获取。一旦完成以上步骤,黑客就会拥有对设备的完全控制,可以监听流量,或利用其发起DDoS一类的攻击。>;>;详细

系统日志监控。密切关注你的系统日志并确保没有成功的非法登录情况。运行故障审计并有规律地最少一季一次)浏览你的设备来迅速地帮助识别威胁、破坏和可疑活动。

phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyaAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。

澳门新浦京娱乐场网站 14

Learning jQuery是FireHost的一位客户,它经历了一次完全不同类型的攻击:SQL注入攻击,这种攻击利用WordPress数据库层的开源安全故障。WordPress和其它内容管理系统CMS)供应商一直在为领先于SQL注入故障不懈努力,它们通过修补来前瞻性地确定故障。不幸的是,Learning jQuery的网站是这个问题的早期受害者。

二、环境

金融行业应用区块链技术面临的安全威胁与防范

周期性地,当CMS供应商还在努力保持领先位置时黑客也在创新和适应。Web设备防火墙WAF)帮助缩小黑客创新和CMS供应商修补程序之间的差距。WAF在它能得到代码并阻止可疑访客获取服务之前检查Web流量。当WAF与入侵防护、侦测系统和其它网络级屏障协作时,阻止攻击的能力以指数方式增长。如果这类网络层防护已经在适当的位置,Learning jQuery的网站也许不会遭受恶意攻击的猛攻。

系统:redhat6.5 32位

  区块链是一个公开的链式账本,其中存储的数据向网络中所有用户公开。而在金融业务场景中,业务规则和监管机构要求保护相关数据的隐私性、完整性等。在存储、传输相应数据时,应该使用哈希函数、同态加密、数字签名等技术保护数据。>;>;详细

避免开源Web设备破坏

IP:192.168.2.200/24

澳门新浦京娱乐场网站 15

开源内容管理系统的增长和普及改变了安全形势并让这个过程更危险。但是有些开发者或技术工程师已经有确保Web设备及它们的托管环境)安全的经验,有了他们的帮助,你就能实施这些方法并阻止网络盗贼的入侵。有适当的预防措施、注意细节且保证维持开源网站,公司的开源Web设备运用一定会成功且卓有成效。

软件包:

SHA-1碰撞攻击将会对我们产生怎样的现实影响?

由于越来越多的公司网站运...

wordpress-3.9-zh_CN.zip wordpress主文件

  证据表明,攻击者必须在拥有原始文件和已知哈希的情况下才能完成碰撞攻击,另外,由于攻击利用了定向编辑,不是每次编辑都会有效。换句话说,即使是破解了SSH或TLS的认证证书,也都不可能实现,需要对原始文件进行一些非常细微的定向更改才能保证碰撞攻击成功。

phpMyAdmin-4.1.5-all-languages.zip phpMyAdmin主文件

  安全漏洞周报

三、基本配置

  上周漏洞基本情况

1.搭建LAMP环境

  上周信息安全漏洞威胁整体评价级别为中。

123456789101112131415161718192021222324252627# service iptables stop //关闭防火墙及SELinux ``# setenforce 0 ``# yum install httpd mysql mysql-server php php-mysql php-gd php-xml ``# service httpd start ``# service mysqld start ``# chkconfig httpd on //开机启动 ``# chkconfig --list |grep httpd ``httpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off ``# chkconfig mysqld on ``# chkconfig --list |grep mysql ``mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off ``# mysqladmin -u root -p password '123' //为mysql设置用户和密码 ``Enter password: ``//``此处回车即可。 ``# mysql -u root -p ``Enter password: ``mysql> create database wordpress; ``//``创建wordpress数据库,为下面安装wordpress做准备。 ``mysql> show databases; `` -------------------- ``| Database | `` -------------------- ``| information_schema | ``| mysql | ``| ``test | ``| wordpress | `` -------------------- ``mysql> q ``Bye

  上周共收集、整理信息安全漏洞229个,其中高危漏洞115个、中危漏洞101个、低危漏洞13个。漏洞平均分值为6.28。本周收录的漏洞中,涉及0day漏洞73个(占32%)。其中互联网上出现“NetgearDGN2201 dnslookup.cgi远程命令执行漏洞、WordPress Kama插件Click CounterSQL注入漏洞”等零日代码攻击漏洞,请使用相关产品的用户注意加强防范。

2.安装WordPress

  上周重要漏洞安全告警

12# unzip wordpress-3.9-zh_CN.zip //解压缩 ``# mv wordpress /var/www/html/

  1、GOOGle产品安全漏洞

将下面IP和域名写入hosts文件C:WindowsSystem32driversetchosts

  Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。Mediaserver是其中的一个多媒体服务组件。Google Chrome是一款流行的Web 浏览器。上周,上述产品被披露存在拒绝服务、跨站脚本和堆溢出代码执行漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。

192.168.2.10 www.yinuo.com

  相关漏洞包括:Google AndroidMediaserver拒绝服务漏洞( CNVD-2017-02255 )、Google Chrome Blink通用跨站脚本漏洞、Google ChromeBlink通用跨站脚本漏洞(CNVD-2017-02108、CNVD-2017-02109、CNVD-2017-02111)、Google ChromeFFmpeg堆溢出代码执行漏洞、Google Chrome FFmpeg堆溢出代码执行漏洞(CNVD-2017-02110)、Google ChromeSkia 堆溢出代码执行漏洞。其中,“Google Android Mediaserver拒绝服务漏洞(CNVD-2017-02255)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。再此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

客户端浏览器访问

  2、IBM存在产品安全漏洞

澳门新浦京娱乐场网站 16

  IBM Maximo AssetManagement是美国IBM公司的一款资产管理生命周期和工作流过程管理系统。IBM Development Packagefor Apache Spark是一款软件开发包。IBM iNotes是美国一套基于Web的电子邮件软件。IBMIntegration Bus是一款企业服务总线(ESB)产品。IBM WebSphereMessage Broker是一款企业服务总线产品。IBM Rational DOORS Next Generation是一款需求管理解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、进行跨站脚本攻击或发起拒绝服务攻击等。

(1)点击创建配置文件。

  相关漏洞包括:IBMDevelopment Package for Apache Spark拒绝服务漏洞、IBM iNotes跨站脚本漏洞(CNVD-2017-02343)、IBMIntegration Bus和WebSphere Message Broker XML外部实体注入漏洞、IBM RationalDOORS Next Generation信息泄露漏洞、IBM Rational Rhapsody Design Manager XML外部实体注入漏洞、IBM WebSphereMessage Broker点击劫持漏洞、多款IBM产品本地信息泄露漏洞、多款IBM产品跨站脚本漏洞(CNVD-2017-02280)。其中,“IBMIntegration Bus和WebSphere Message Broker XML外部实体注入漏洞、IBM RationalRhapsody Design Manager XML外部实体注入漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。再此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

澳门新浦京娱乐场网站 17

  3、Joomla产品安全漏洞

(2)点击现在就开始。

  Joomla是一款开放源码的内容管理系统(CMS)。上周,该产品被披露存在SQL注入漏洞,攻击者可利用漏洞访问或修改数据库数据。

澳门新浦京娱乐场网站 18

  相关漏洞包括:Joomlacom_civicrm组件"id"参数SQL注入漏洞、Joomlacom_comprofiler组件SQL注入漏洞、Joomla com_fsf组件"CATid"参数SQL注入漏洞、Joomlacom_glossary组件"id"参数SQL注入漏洞、Joomlacom_jajobboard组件SQL注入漏洞、Joomla com_jumi组件SQL注入漏洞、Joomla com_k2组件"id"参数SQL注入漏洞、Joomlacom_sgpprojects组件SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商尚未发布该漏洞的修补程序。再此,提醒广大用户随时关注厂商主页,以获取最新版本。

(3)写入用户名和密码,点击提交。

  4、tcpdump产品安全漏洞

澳门新浦京娱乐场网站 19

  tcpdump是Tcpdump团队开发的一套运行在命令行下的嗅探工具。上周,该产品被披露存在缓冲区溢出漏洞,攻击者可利用漏洞执行任意代码。

(4)按照提示,手动创建wp-config.php文件,并把文本复制进去,然后进行安装。

  相关漏洞包括:tcpdump缓冲区溢出漏洞(CNVD-2017-02235、CNVD-2017-02236、CNVD-2017-02237、CNVD-2017-02238、CNVD-2017-02239、CNVD-2017-02240、CNVD-2017-02241、CNVD-2017-02242)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。再此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

12# cd /var/www/html/wordpress/ ``# vim wp-config.php

  5、WordPress Kama插件Click Counter SQL注入漏洞

澳门新浦京娱乐场网站 20

  WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周,WordPress被披露存在SQL注入漏洞,攻击者可利用该漏洞访问或修改数据,泄露敏感信息。目前,厂商尚未发布该漏洞的修补程序。再此,提醒广大用户随时关注厂商主页,以获取最新版本。

(5)如果数据库连接错误,一定要看下wp-config.php文件的17-26行,不许有任何错误(如下图)。

  专家点评和建议

澳门新浦京娱乐场网站 21

  中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,Google被披露存在拒绝服务、跨站脚本和堆溢出代码执行漏洞,攻击者可利用漏洞发起拒绝服务攻击或执行任意代码。此外,IBM、Joomla、tcpdump等多款产品被披露存在多个漏洞,攻击者利用漏洞可泄露敏感信息、进行跨站脚本攻击、执行任意代码或发起拒绝服务攻击等。另外,WordPress被披露存在SQL注入漏洞,攻击者可利用该漏洞访问或修改数据,泄露敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

澳门新浦京娱乐场网站 22

让更多人知道事件的真相,把本文分享给好友:

(6)填写站点信息,安装wordpress。

更多

澳门新浦京娱乐场网站 23

(7)已成功,可以进行登录了。

澳门新浦京娱乐场网站 24

(8)登录测试。

澳门新浦京娱乐场网站 25

(9)更换个性主题,如fengying.zip。

12# unzip fengying.zip ``# mv fengying /var/www/html/wordpress/wp-content/themes/

3.安装phpMyAdmin

12345# unzip phpMyAdmin-4.1.5-all-languages.zip ``# mv phpMyAdmin-4.1.5-all-languages /var/www/html/phpmyadmin ``# rpm -qa php //查看php版本信息 ``php-5.3.3-22.el6.i686 ``http:``//rpm``.pbone.net/ ``//``去这个网址下载和php版本相对应的php-mbstring

澳门新浦京娱乐场网站 26

12345678# rpm -ivh php-mbstring-5.3.3-22.el6.i686.rpm ``# rpm -qa |grep php ``php-5.3.3-22.el6.i686 ``php-mbstring-5.3.3-22.el6.i686 ``再次提醒,php和php-mbstring版本信息必须一致。 ``# service httpd restart ``Stopping httpd: [ OK ] ``Starting httpd: [ OK ]

访问

输入数据库的账号和密码。

澳门新浦京娱乐场网站 27

管理数据库(图形界面下的mysql管理工具)。

澳门新浦京娱乐场网站 28

四、安全配置

1.身份验证

1234567891011121314151617181920212223# vim /etc/httpd/conf/httpd.conf ``338 AllowOverride all ``//``访问需要验证 ``# cd /var/www/html/wordpress/ ``# vim .htaccess //创建验证说明文件 ``authuserfile ``/var/www/html/``.htpasswd ``authname ``"nuo"``authtype basic ``require valid-user ``# cd .. ``# htpasswd -c .htpasswd admin //创建密码文件,用户名为admin,为了安全,密码和说明文件不在同一目录下 ``New password: ``Re-``type new password: ``Adding password ``for user admin ``# cat .htpasswd ``admin:OEWyxf6WFthog ``# ll -a ``drwxr-xr-x. 3 root root 4096 May 14 14:21 . ``drwxr-xr-x. 6 root root 4096 Mar 30 15:01 .. ``-rw-r--r--. 1 root root 20 May 14 14:21 .htpasswd ``drwxr-xr-x. 5 root root 4096 May 14 14:20 wordpress ``# service httpd restart ``Stopping httpd: [ OK ] ``Starting httpd: [ OK ]

客户端浏览器访问

需账号和密码才能正常访问个人主页。

澳门新浦京娱乐场网站 29

2.来源控制

1234# vim /etc/httpd/conf/httpd.conf ``343 Order allow,deny ``344 Allow from all ``345 deny from X.X.X.X

X.X.X.X 表示拒绝访问的IP。

3.加密访问(https)

123456789101112# cd /etc/pki ``# ll ``drwxr-xr-x. 6 root root 4096 Mar 30 14:59 CA ``drwxr-xr-x. 4 root root 4096 Mar 30 14:57 ca-trust ``drwxr-xr-x. 2 root root 4096 Mar 30 15:41 entitlement ``drwxr-xr-x. 2 root root 4096 Mar 30 14:57 java ``drwxr-xr-x. 2 root root 4096 Mar 30 14:58 nssdb ``drwxr-xr-x. 2 root root 4096 Mar 30 15:15 product ``drwxr-xr-x. 2 root root 4096 Mar 30 14:55 rpm-gpg ``drwx------. 2 root root 4096 Aug 15 2013 rsyslog ``drwxr-xr-x. 5 root root 4096 Mar 30 14:59 tls ``# vim tls/openssl.cnf

澳门新浦京娱乐场网站 30

123456789101112131415161718192021222324252627282930313233343536373839# cd /etc/pki/CA/ ``# touch index.txt ``# touch serial ``# echo 00 >serial ``# openssl genrsa 1024 >private/cakey.pem ``Generating RSA private key, 1024 bit long modulus ``................. ``......................................... ``e is 65537 (0x10001) ``# ll private/cakey.pem ``-rw-r--r--. 1 root root 887 May 14 14:38 private``/cakey``.pem ``# openssl req -new -key private/cakey.pem -x509 -out cacert.pem ``You are about to be asked to enter information that will be incorporated ``into your certificate request. ``What you are about to enter is what is called a Distinguished Name or a DN. ``There are quite a few fields but you can leave some blank ``For some fields there will be a default value, ``If you enter ``'.'``, the field will be left blank. ``----- ``Country Name (2 letter code) [XX]:CN ``State or Province Name (full name) []:HeNan ``Locality Name (eg, city) [Default City]:ZhengZhou ``Organization Name (eg, company) [Default Company Ltd]:ZZU ``Organizational Unit Name (eg, section) []:tec ``Common Name (eg, your name or your server's ``hostname``) []:rootca.net.org ``Email Address []: ``# mkdir -pv /etc/httpd/certs ``# cd /etc/httpd/certs/ ``# openssl genrsa 1024 >httpd.key ``Generating RSA private key, 1024 bit long modulus ``....... ``.... ``e is 65537 (0x10001) ``# ll ``-rw-r--r--. 1 root root 887 May 14 14:42 httpd.key ``# chmod 600 httpd.key ``# ll ``-rw-------. 1 root root 887 May 14 14:42 httpd.key ``# vim /etc/pki/tls/openssl.cnf // 低行命令模式:85,87 s/match/optional

澳门新浦京娱乐场网站 31

1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768# openssl req -new -key httpd.key -out httpd.crq ``You are about to be asked to enter information that will be incorporated ``into your certificate request. ``What you are about to enter is what is called a Distinguished Name or a DN. ``There are quite a few fields but you can leave some blank ``For some fields there will be a default value, ``If you enter ``'.'``, the field will be left blank. ``----- ``Country Name (2 letter code) [XX]:CN ``State or Province Name (full name) []:HeNan ``Locality Name (eg, city) [Default City]:ZhengZhou ``Organization Name (eg, company) [Default Company Ltd]:abc ``Organizational Unit Name (eg, section) []:tec ``Common Name (eg, your name or your server's ``hostname``) []:www.abc.com ``Email Address []: ``Please enter the following ``'extra' attributes ``to be sent with your certificate request ``A challenge password []: ``An optional company name []: ``# ll ``-rw-r--r--. 1 root root 651 May 14 14:46 httpd.crq ``-rw-------. 1 root root 887 May 14 14:42 httpd.key ``# openssl ca -in httpd.crq -out httpd.cert ``Using configuration from ``/etc/pki/tls/openssl``.cnf ``Check that the request matches the signature ``Signature ok ``Certificate Details: ````Serial Number: 0 (0x0) ````Validity ````Not Before: May 14 21:46:54 2014 GMT ````Not After : May 14 21:46:54 2015 GMT ````Subject: ````countryName = CN ````stateOrProvinceName = ZhengZhou ````organizationName = abc ````organizationalUnitName = tec ````commonName = www.abc.com ````X509v3 extensions: ````X509v3 Basic Constraints: ````CA:FALSE ````Netscape Comment: ````OpenSSL Generated Certificate ````X509v3 Subject Key Identifier: ````0A:8A:11:6A:C4:86:4B:66:DC:C3:10:B5:D4:CE:C2:AB:E8:8A:8B:DE ````X509v3 Authority Key Identifier: ````keyid:79:AB:D7:17:BC:30:27:1F:59:08:6F:01:70:A2:33:53:55:99:27:E1 ``Certificate is to be certified ``until May 14 21:46:54 2015 GMT (365 days) ``Sign the certificate? [y``/n``]:y ``1 out of 1 certificate requests certified, commit? [y``/n``]y ``Write out database with 1 new entries ``Data Base Updated ``# cd /etc/pki/CA/ ``# cat index.txt ``V 150514214654Z 00 unknown ``/C``=CN``/ST``=ZhengZhou``/O``=abc``/OU``=tec``/CN``=www.abc.com ``# yum install mod_ssl ``# vim /etc/httpd/conf.d/ssl.conf ``105 SSLCertificateFile ``/etc/httpd/certs/httpd``.cert ``112 SSLCertificateKeyFile ``/etc/httpd/certs/httpd``.key ``121 SSLCertificateChainFile ``/etc/pki/CA/cacert``.pem ``# service httpd configtest //语法测试 ``Syntax OK ``# vim /etc/httpd/conf/httpd.conf ``136 ``#Listen 80 //关闭80端口,仅能使用https方式访问 ``# service httpd restart ``Stopping httpd: [ OK ] ``Starting httpd: [ OK ] ``# netstat -tupln |grep httpd ``tcp 0 0 :::443 :::* LISTEN 25167``/httpd

五、测试

客户端浏览器访问

澳门新浦京娱乐场网站 32

查看证书并安装。

澳门新浦京娱乐场网站 33

主页展示

澳门新浦京娱乐场网站 34

本文出自 “一诺千金” 博客,请务必保留此出处

二、环境 三、基本配置 1.搭建LAMP环境 2.安装WordPress 3.安装phpMyAdmin 四、安全配置 1.身份验证 2.来源控制 3.加密访问(https) 五、测试...

本文由澳门新浦京娱乐场网站发布于服务器,转载请注明出处:澳门新浦京娱乐场网站:CentOS下搭建WordPress网址