首先,打开配置文件: /etc/apache2/apache2.conf 来修改ServerTokens 的配置: 找到:ServerTokens Full 所在行,将其改为: ServerTokens Prod 没有就添加上面这一行即可 然后重新加紧载Apache的配置:  /etc/init.d/apache2 restart 这时,Apache的版本信息被隐藏了. 再编辑配置文件 security.conf vim /etc/apache2/conf-available/security.…
在安装软件前,我们需要隐藏软件的版本号及版本其他信息,这样就大大提高了安全指数. 只隐藏版本号: 我们在主配置文件里:httpd.conf [root@bqh- ~]# curl -i bbs.bqh123.com HTTP/ OK Date: Tue, Jul :: GMT Server: Apache/ (Unix) DAV/ #不隐藏的情况下,显示版本号及版本信息 Last-Modified: Sun, Jul :: GMT ETag: "dff71-16-58da224263365&qu…
默认情况下,很多apache安装时会显示版本号及操作系统版本,甚至会显示服务器上安装的是什么样的apache模块.这些信息可以为黑客所用,并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态. 这里有两条语句,你需要添加到你的httpd.conf文件中:ServerSignature OffServerTokens Prod ServerSignature该参数设置 出现在apache所产生的像404页面.目录列表等页面的底部,三个选项 On|Off|EMai 主要起开关作用,推荐设置…
隐藏Apache信息 1.1 主配置中启用httpd-default.conf 文件: conf/httpd.Conf 找到httpd-default.conf,删除前面的注释“#”,改成如下 Include conf/extra/httpd-default.conf1.2 修改httpd-default.conf 文件:conf/extra/httpd-default.conf ServerTokens Full 改成 ServerTokens ProdServerSignature On 改…
Web应用程序的敏感信息-隐藏目录和文件 0x1.场景 Web应用程序根文件夹中可能存在大量隐藏信息:源代码版本系统文件夹和文件(.git,.gitignore,.svn),项目配置文件(.npmrc,package.json,.htaccess),自定义配置文件使用config.json,config.yml,config.xml等常见扩展以及许多其他扩展. 资源可以分为几个常见类别: 源代码版本控制系统 IDE(集成开发环境)配置文件 项目和/或技术特定的配置和设置文件 1.1.GIT Gi…
转自: 查看nginx | apache | php | tengine | tomcat版本的信息以及如何隐藏版本信息 - 追马 - 51CTO技术博客http://lovelace.blog.51cto.com/1028430/1440212 昨天配置nginx的时候说道隐藏版本信息的问题,今天就罗列一下 要操作的信息列表 nginx版本信息查询及隐藏 Apache版本信息查询及隐藏 php版本信息查询及隐藏 tengine版本信息查询及隐藏 tomcat版本信息查询及隐藏 详细操作步骤 1…
一,隐藏Nginx软件版本号信息 查看版本号 curl -I 192.168.0.220 HTTP/1.1 200 OK Server: nginx/1.6.2 #这里清晰的暴露了Web版本号(1.6.2)及软件名称(nginx) Date: Wed, 23 Aug 2017 10:45:47 GMT Content-Type: text/html; charset=UTF-8 隐藏版本号 Nginx配置文件nginx.conf中的http标签段内加入“server_tokens off” se…
在项目中,有时候一些信息不便完全显示,只需要显示部分信息.现在提供一些隐藏敏感信息的操作方法,主要为对信息的截取操作: 1.指定左右字符数量,中间的*的个数和实际长度有关: /// <summary> /// 隐藏敏感信息 /// </summary> /// <param name="info">信息实体</param> /// <param name="left">左边保留的字符数</param&…
隐藏Apache版本信息 找到apache安装路径,譬如\Apache\conf\httpd.conf 修改httpd.conf ServerTokens ProductOnly ServerSignature Off 完成后重启apache服务器; --------------------------------------------------------------------------------------------------- 隐藏php版本信息 找到php.ini文件. 修…
安装完apache一般第一时间都是关闭apache的版本信息,黑客会通过apache暴露出来的信息针对性的入侵,为了服务器的安全这些信息一定要及时关闭. 1.隐藏PHP版本 修改php.ini expose_php = On 为 expose_php = Off 重启服务器后查看 Response.Header 隐藏前 Server: Apache/2.2.21 (Unix) mod_ssl/2.2.21 OpenSSL/1.0.1h PHP/5.6.6 隐藏后 Server: Apache/2…
为了提高我们web服务器的安全性,我们应当尽可能的隐藏服务器的信息以防止他人通过这些信息找到漏洞侵入我们的服务器,对于Nginx而言,我们安装好Nginx后最好隐藏Nginx的版本号,以防止通过该版本的漏洞入侵我们的服务器. 在不隐藏的情况下,我们可以通过http响应头查看Nginx的版本号,如下图 我们可以通过在nginx.conf的http段中加入 server_tokens off来隐藏我们的版本号 修改后记得重载配置文件( nginx -s reload)使修改生效,生效再次请求我们的服…
还是老惯例,直接上代码. 最终效果图: public static class HideSensitiveInfoExtension { /// <summary> /// 隐藏敏感信息 /// </summary> /// <param name="info">信息实体</param> /// <param name="left">左边保留的字符数</param> /// <param…
       近期业余时间写了一款应用<摇啊摇>,安智.安卓.360等几个应用商店已经陆续审核通过并上线.从有想法到终于将产品做出来并公布,断断续续花了近二个半月的业余时间,整体来讲还算顺利,尽管期间也遇到几个小技术难点.最后解决的还算惬意.今天说下当中一个小技术难点,如今想想这个小技术难点也非常寻常,但还是分享出来,希望对有同样疑惑的同学有帮助.        因为java语言自身特性的原因,导致android程序非常easy被反编译.尽管能够採用代码混淆的方式,可是假设用了第三方库.混淆脚…
本文翻译自https://www.securecoding.cert.org/confluence/display/java/DRD00-J.+Do+not+store+sensitive+information+on+external+storage+%28SD+card%29+unless+encrypted+first,有增删改. Android提供了几种保存持久化应用数据的选择,当中之中的一个就是外部存储(/sdcard, /mnt/sdcard).外部存储包含设备内部的微型或标准大小的…
1 背景 [工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处.尊重劳动成果] 事实上这篇文章可能有些小题大作,但回过头想想还是非常有必要的,有点阴沟里翻船的感觉.相信大家都知道Android API Level 8開始提供了为应用程序备份和恢复数据的功能.此功能的开关能够通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True.所以用户能够对我们应用程序进行数据备份.相信非常多人都和我一样一直当作耳边风过…
前言 开心一刻 一只被二哈带偏了的柴犬,我只想弄死隔壁的二哈 what:是什么 BeanFactoryPostProcessor接口很简单,只包含一个方法 /** * 通过BeanFactoryPostProcessor,我们自定义修改应用程序上下文中的bean定义 * * 应用上下文能够在所有的bean定义中自动检测出BeanFactoryPostProcessor bean, * 并在任何其他bean创建之前应用这些BeanFactoryPostProcessor bean * * Bean…
前言: 利用数据库视图,实现web接口查询敏感信息时动态脱敏. 具体目标:某接口为用户信息查询接口,返回敏感用户信息(id,姓名.手机号[敏感].身份证号[敏感]),如果web用户为管理员角色,则查询后返回明文用户信息,如果用户为普通用户信息,则查询后返回脱敏后的用户信息. 具体步骤: 一.在mysql中新建一个用户信息表,并添加几条数据 二.对上表创建脱敏后的视图,利用掩码技术脱敏,脱敏字段为phone和id_card ),)) ),'**************') as id_card f…
logstash的配置文件conf经常会涉及敏感信息,比如ES,mysql的账户密码等,以下使用logstash导入mysql为例子,加密隐藏mysql的密码. 在向keystore中添加key及其secret值之后,你可以在配置敏感设置时使用key代替secret值. 引用key的语法与环境变量的语法相同:${KEY},KEY是key的名称. 例如,假设keystore包含一个名为ES_PWD的key,其值为yourelasticsearchpassword: 在配置文件中使用:output…
前言 出于安全考虑,现需要将数据库的中敏感信息加密存储到数据库中,但是正常业务交互还是需要使用明文数据,所以查询返回我们还需要经过相应的解密才能返回给调用方. ps:日常开发中,我们要有一定的安全意识,对于密码,金融数据等敏感信息事实加密存储保护. 这个需求说起来不是很难,我们只需要在执行 sql 之前,提前将指定数据进行加密.执行 sql 之后,获取返回结果,再进行的相应的解密.稍微改造下原有代码,很快完成需求. 现有加密算法如 RSA2 ,AES 等,密文长度将会是明文好几倍.上线加解密方案…
 1. SharedPreferences漏洞, 无法避免,所以不要在里面存储敏感信息2. 数据存储检测,content://com.starcor.launcherInfo/deviceInfo",这样的串,可以放在字符串资源中编译加密,或者加密存储在配置文件中,或者放到数据库中3. "http://apkinfo.voole.com/apk-upload-log.do",  这样的串,和上一个一样加密com/voole/logsdk/localservice/LocalS…
默认情况下,在jboss eap 6.2+ 管理控制台创建datasource后,会在standalone.xml(独立模式)或host.xml(域模式)中以明文保存相关敏感信息. 这会给服务器留下安全隐患,不过官方已经考虑到了这一点,给出了vault机制来进行加密,步骤如下: 1. 利用keytool生成keystore文件,参考命令如下: keytool -genseckey -alias -storepass mypassword -keystore /Users/jimmy/vault/…
在 Apache error_log 中看到多个信息,提示 RSA server certificate CommonName (CN) 与服务器名不匹配. Article ID: 1500, created on 五月 28, 2012, last review on 五月 11, 2014   适用于: Web Presence Builder Plesk for Linux/Unix Plesk Automation 11.5 问题 Apache error_log 含有警告: [Mon…
1.把包含敏感信息的请求转为https请求,则较为安全,但如何只把有需要安全的请求转为https,而不是不加分辩就把所有请求都转为https呢?可以用requiresChannel() @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/spitter/me").hasRole("SPITTER&quo…
根据借楼最少资源原则,有时候MVC需要隐藏自己的版本号,其实这里也是比较简单的,只需要在Global.ascx 的Application_Start()中添加一行代码既可 添加为  MVCHandler.DisabledMvcResposeHeader=true;既可…
默认情况下,我们配置在domain.xml或host.xml文件中的信息都是明文,对一些敏感信息就显得安全性不够,可以使用jboss提供的vault机制来进行加密 下面的内容来自 http://www.cnblogs.com/yjmyzz/p/how-to-encrypt-datasource-password-with-jboss-eap-6.html 1. 利用keytool生成keystore文件,参考命令如下: keytool -genseckey -alias  -storepass …
在ASP.NET MVC项目中,使用AJAX向控制器发送GET请求获取JSON数据时,出现这个错误:"此请求已被阻止,因为当用在 GET 请求中时,会将敏感信息透漏给第三方网站.若要允许 GET 请求,请将 JsonRequestBehavior 设置为 AllowGet". 其实从返回的这个错误信息我们已经可以知道解决方法了,看这个信息:”因为当用在 GET 请求中时,会将敏感信息透漏给第三方网站“,说明我们只要使用POST请求就可以了.后面的 “若要允许 GET 请求,请将 Jso…
转载:http://blog.csdn.net/yanbober/article/details/46417531 1 背景 其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的感觉.相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份.相信很多人都和我一样一直当作耳边…
当构建CS模式的应用程序时,在client側存储敏感信息(比如用户私要信息)可能导致非授权的信息泄漏. 对于Web应用程序来说,最常见的泄漏问题是在client使用cookies存放server端获取的敏感信息.Cookies是由webserver创建的,它具有一个指定的有效时间,保存在client.当client连接上server端时,client使用cookies中存储的信息向server端进行认证,通过后server端返回敏感信息. 在XSS攻击下,Cookies不能保证敏感信息的安全.不…
隐藏版本号 隐藏nginx的版本号很简单,nginx的HttpCoreModule提供了一条叫做server_tokens指令,我这要将这条指令设置为“server_tokens off”就可以了. 首先访问一下,看一下现有的版本: root@ mail ~]# curl --head http://192.168.3.139 HTTP/ Forbidden Server: nginx/ Date: Thu, Dec :: GMT Content-Type: text/html Content-…
在 JavaEE 配置文件中,例如 XML 或者 properties 文件,由于某些敏感信息不希望普通人员看见,则可以采用加密的方式存储,程序读取后进行解密. 常见的如: 数据库用户密码,短信平台用户密码,系统间校验的固定密码等. 本工具类参考了 <Spring.3.x企业应用开发实战>一书 5.3节的实现. 完整代码与注释信息如下: package com.cncounter.util.comm; import java.security.Key; import java.security…