網站安全總結

網站安全總結

1、服務器系統安全

• A.服務器硬件：主要爲硬盤數據及時備份及異地備份或雙硬盤。

• B.服務器軟件：

  • 1.服務器密碼按期修改（一個月）並符合複雜性要求。[linux下將root用戶更名並修改或隱藏系統的banner信息]。
  • 2.及時打補丁、升級等[關注官方漏洞列表]。
  • 3.設置加密碼鏈接並修改鏈接端口、關閉或卸載沒必要要的服務、端口。
  • 4.linux下，設置嚴格的iptables策略、設置web執行用戶操做服務器的權限。
  • 5.開啓SSL安全訪問。

威脅說明：1.root暴力破解。2.針對banner信息特定攻擊。3.新漏洞利用攻擊。4.遠程鏈接劫持。5.利用其餘易忽略服務攻擊。6.利用web軟件提權。

2、目錄安全（威脅：）

• A.將項目、框架目錄放置在web目錄以外[只將部分目錄如公共目錄及圖片上傳放在web目錄下]。
• B.設置上傳目錄的權限爲只讀寫，不執行程序代碼（或將上傳目錄放於另外一域名下）。

威脅說明：目錄結構暴露及僞圖片/圖片木馬攻擊。模板及程序被下載。

3、代碼安全

• A.httpoly 開啓(雖然用處不大)。
• B.cookie安全cookie名稱及值加密
• C.Web跨域提交攻擊及跨頁面提交[設置URL認證及簽名cookie及hidden的token或令牌]
• D.數據過濾安全XSS：1.接收用戶數嚴格過濾。2.入庫轉實體。
• E.表單安全：加驗證碼及C的方式。

• F.邏輯安全：

  • 1.接收參數如ID是否存。
  • 2.ID是否轉整或字符是否轉強換及過濾。
  • 3.判斷數據庫是否存該記錄。
  • 4.存在是否符合要求（如所屬主是否有權限操做）。等等（多想一想）。

威脅說明：1.cookie盜取及利用。2.跨域攻擊（機器遠程攻擊）。3.XSS攻擊提權。4.表單機器提交等。

4、程序文件安全

• A.模板文件暴露及字段猜解。程序文件名暴露及程序被下載。
• B.其餘未知安全。

威脅及方案：採用二的目錄安全可解決。

5、數據庫安全

• A.數據庫異地備份、數據逆向同步備份。
• B.修改banner信息。按期修改mysql的root密碼，設置遠程鏈接數據庫的權限（最好禁止遠程鏈接）
• C.表字段及數據庫加前綴。
• D.修改mysql的端口號。

6、其餘安全

• A.生成靜態文件訪問。
• B.設置僞靜態。
• C.屏蔽錯誤信息。

總結：以上爲我的平時經驗及實驗總結（僅供參考）。固然還有不少的攻擊方式未寫到。總結解決方案也未必完美，因爲我的水平有限及遇到的狀況所限，還有待更多的朋友分享。
若有其餘疑問請聯繫：15210079701@126.com《PHP及安全愛好者-李偉傑（原創）》*