关于加强保护网站安全的想法--引于IDF博文

安全运用背景一:

 

1.如果你的网站只是面向特定用户即用户量很少的，建议给首页加一个口令验证，使用session验证。如果验证未通过，则网站的所有页面都访问不了。当没有输入正确的密码和验证码的时候，直接访问其他页面文件，就会提示"访问者无权访问，并跳转到首页输入口令验证身份。"

分析1:

这样处理可以防止那种使用目录爆破工具猜测网站目录，保证了站点目录的安全性。

安全运用背景二:

2.大家都知道有的软件可以暴力破解后台账号和密码，比如burp。但是网站加了验证码暴力破解就比较困难了，但是有的软件可以暴力验证码。此时我们可以用一个很巧妙的"诱骗手段"，提示有验证码，但是我们的后台并非就是采用的这个验证码做验证，我们可以采用这个验证码的一部分，或者用这个验证码进行特定计算后的值来判定是否验证通过。这样的话别人再怎么暴力破解恐怕也白搭了！！

分析2:

尽管你多么多么费力的找来各种字典，验证码只是一个浮云，或者并非你想的那样简单的验证，这么恨的招，一般人想得到吗？？

安全运用背景三:

3.关于后台，网站的重中之重的，很多的攻击都要基于后台完成，找不到后台，对一个站点的安全性提高来说太重要了;正如BTCF竞赛官方平台里把目录进行32位MD5加密，这样对于brup这样的暴力破解找目录软件来说那简直是噩耗啊！！！

分析3:

好狠的大招，-但是也可以做到吧？？只要有心，把字典全部MD5加密后来跑吧，但是目测这个目录的MD5解出来就困难了！！所以这个确实是个大招啊！！

4.自定义错误页面，不是指默认的404页面，把所有的不存在的页面都转成状态200的页面，让北极熊类的扫描器成为废物。

分析4:

扫描工具绝大部分都是基于页面请求返回的状态200 302 404 这样的状态值来判定这个页面是否存在。当页面不存在时，系统会默认跳转到404页面，返回404状态值，所以后台可以把这样的404全部转到202来返回，这样欺骗了扫描软件没办法找到真实的页面;

5.在较深的目录下，放入假的php asp aspx 的各种大马，让入侵者好不容易找到了一个大马，用字典去爆破，让他万万没想到的却是这个永远也无法破解成功。

分析5:

这个好伤人感情的说，好让人尴尬的说！！绝大部分人都想不到居然这根本就是一个虚假的木马！

6.放入虚假的rar .zip  .gz 等压缩文件，小到几十M 大的可以是几百M的，里面全是电影。视频。或者其他网站的源程序。这些东西让那些入侵者慢慢去研究吧！！

分析6:

当入侵者拿到这些文件打开后，确实很无语，很无奈啊！！但是别忘记了 最近没多久爆出来的<利用Google爬虫DDoS任意网站>,所以说呢。。这个还是有风险的哟！！

说明： 学习参照来自于IDF实验室微博上文章！！！感觉很有用，摘录下来学习学习！！！