web安全如何系統學習研究

1. 系統,網絡層 , 若密碼,防火牆配置好,該用認證的時候別隻用防火牆去頂,我見過防火牆規則失效,直接被連上了數據庫的. root能夠登陸仍是若密碼的,很少說了, 沒撒好講的你們都知道 應用層. 搞清楚常見的SQL注入,XSS,CSRF. php+mysql的方式sql注入. php鏈接mysql的三種api（mysql，mysqli，pdo-mysql） 新項目別再使用 mysql_connect 了, 使用PDO,mysqli,參數綁定的方式. mysql_connect的sql查詢經過抓包咱們能夠看到就是拼接的字符串, 咱們試圖本身寫過濾函數,而實際上,你就是過濾不乾淨. 用PDO或mysqli參數綁定方式去和mysql交互,咱們經過抓包能夠發現, 一共有2次發送, 一次只發送了sql查詢結構,第二次發送的參數,這就是爲何參數綁定能夠杜絕sql注入的緣由,由於你壓根就不能改變語義. php鏈接mysql請使用 PDO,mysqli !!!!. 實際項目中大部分狀況會使用php框架,按照規範好好用ORM吧,框架已經幫你處理了, 不過也有一個地方要注意,就是使用原生語句也要注意本身拼接了一些不安全的外部參數到sql語句中形成攻擊. 本身能夠用sqlmap測試掃描下. - @理魚

2. XSS, 重要的cookie 請使用httponly進行保護(雖然有方法也能夠讀取到httponly,可是也要用,更安全) 好比php當中phpsessionid 配置 php.ini開啓httponly. 外部數據,好比表單等請作XSS過濾後入庫,頁面展現的時候也能夠再作一次XSS過濾.左右開弓. 媽媽不再用擔憂我被XSS盲打了. 登陸的 session對應的cookie 沒用啓用httponly 結果被XSS盲打到了. 好比知乎的後臺`````` - @理魚

3. CSRF, 使用token防止跨站僞造提交

有的小白站,企圖使用 百度雲加速 360網站衛士 安全寶 安全狗什麼的保護 本身自己n多的漏洞. 其實準備東西真不科學爲何呢. 你本身自己就有漏洞,養幾條惡狗(WAF)就能低檔麼. 能夠有繞過的方法的. 本身修復好本身的漏洞,再有惡狗(WAF)看家纔是正道呢. - @理魚

4. DDOS防禦方案,

我就簡單分紅 應用層的攻擊,和流量層的攻擊, 應用層,除了用三方waf系統外, 能夠用nginx tengine 的限速模塊來作作. 配合lua模塊也能作作. 流量層的,找三方清晰吧.

安全寶 青松抗D 騰訊大禹(前不久諮詢過騰訊雲, 能夠買他們的虛擬機,而後用上他們的大禹系統來作清洗, 而後用他們的虛擬機開nginx反向代理. 咱們實踐過只是問了可行) 國內提供ddos防禦最給力的 仍是 阿里雲 雲盾. . 而後更大規模的ddos清洗,能夠找 電信運營商級別的 叫作 "雲堤" 實際上阿里的大規模攻擊清洗是 "雲堤" 配合完成的. - @理魚

5. 「雲堤」簡歷：

中文名：雲堤

英文名：DamDDoS

別名：DDoS安全防禦產品

籍貫：天朝帝都

出生於：2014年9月

性格：吃苦耐壓、平易近人、靜如處子、動若脫兔

監護人：中國電信集團公司

電話號碼：010-59502316

我以爲雲堤能作成 便捷的 服務就行了. 讓全部人都 不怕 網絡黑社會(DDOS) 運營商級別的清洗很牛逼,能夠直接把攻擊流量扼殺到本城市的搖籃中. - @理魚

6. 網站後臺登陸控制. 你永遠都不能控制大家公司的人用各類奇葩的弱密碼等, 怎麼應對. 限制登陸ip, 使用二次驗證. 咱們這裏就簡單, 後臺用手機驗證碼, 有後臺賬號的人都綁定手機.

我的沒有一個系統完整的學習方法論, 把我遇到的問題,知道的微薄知識口水分享給你們拍磚. - @理魚

7. 黑客大曝光：Web應用程序安全（原書第3版） http://item.m.jd.com/ware/view.action?wareId=10845129 - platoli