1. 系统,网络层 , 若密码,防火墙配置好,该用认证的时候别只用防火墙去顶,我见过防火墙规则失效,直接被连上了数据库的.
root可以登录还是若密码的,不多说了, 没撒好讲的大家都知道 应用层. 搞清楚常见的SQL注入,XSS,CSRF. php+mysql的方式sql注入.
php连接mysql的三种api(mysql,mysqli,pdo-mysql) 新项目别再使用 mysql_connect 了,
使用PDO,mysqli,参数绑定的方式. mysql_connect的sql查询通过抓包我们可以看到就是拼接的字符串,
我们试图自己写过滤函数,而实际上,你就是过滤不干净. 用PDO或mysqli参数绑定方式去和mysql交互,我们通过抓包可以发现, 一共有2次发送,
一次只发送了sql查询结构,第二次发送的参数,这就是为什么参数绑定可以杜绝sql注入的原因,因为你压根就不能改变语义. php连接mysql请使用
PDO,mysqli !!!!. 实际项目中大部分情况会使用php框架,按照规范好好用ORM吧,框架已经帮你处理了,
不过也有一个地方要注意,就是使用原生语句也要注意自己拼接了一些不安全的外部参数到sql语句中造成攻击. 自己可以用sqlmap测试扫描下. - @理鱼
2. XSS, 重要的cookie 请使用httponly进行保护(虽然有方法也可以读取到httponly,但是也要用,更安全)
比如php当中phpsessionid 配置 php.ini开启httponly.
外部数据,比如表单等请做XSS过滤后入库,页面展示的时候也可以再做一次XSS过滤.双管齐下. 妈妈再也不用担心我被XSS盲打了. 登录的
session对应的cookie 没用启用httponly 结果被XSS盲打到了. 比如知乎的后台`````` - @理鱼
3. CSRF, 使用token防止跨站伪造提交
有的小白站,企图使用 百度云加速 360网站卫士 安全宝 安全狗什么的保护 自己本身n多的漏洞. 其实准备东西真不科学为什么呢.
你自己本身就有漏洞,养几条恶狗(WAF)就能低档么. 可以有绕过的方法的. 自己修复好自己的漏洞,再有恶狗(WAF)看家才是正道呢. - @理鱼
4. DDOS防护方案,
我就简单分成 应用层的攻击,和流量层的攻击, 应用层,除了用三方waf系统外, 可以用nginx tengine 的限速模块来做做.
配合lua模块也能做做. 流量层的,找三方清晰吧.
安全宝 青松抗D 腾讯大禹(前不久咨询过腾讯云, 可以买他们的虚拟机,然后用上他们的大禹系统来做清洗, 然后用他们的虚拟机开nginx反向代理.
我们实践过只是问了可行) 国内提供ddos防护最给力的 还是 阿里云 云盾. . 然后更大规模的ddos清洗,可以找 电信运营商级别的 叫做 "云堤"
实际上阿里的大规模攻击清洗是 "云堤" 配合完成的. - @理鱼
5. 「云堤」简历:
中文名:云堤
英文名:DamDDoS
别名:DDoS安全防护产品
籍贯:天朝帝都
出生于:2014年9月
性格:吃苦耐压、平易近人、静如处子、动若脱兔
监护人:中国电信集团公司
电话号码:010-59502316
我觉得云堤能做成 便捷的 服务就好了. 让所有人都 不怕 网络黑社会(DDOS) 运营商级别的清洗很牛逼,可以直接把攻击流量扼杀到本城市的摇篮中. -
@理鱼
6. 网站后台登录控制. 你永远都不能控制你们公司的人用各种奇葩的弱密码等, 怎么应对. 限制登录ip, 使用二次验证. 我们这里就简单,
后台用手机验证码, 有后台帐号的人都绑定手机.
个人没有一个系统完整的学习方法论, 把我遇到的问题,知道的微薄知识口水分享给大家拍砖. - @理鱼
7. 黑客大曝光:Web应用程序安全(原书第3版)
http://item.m.jd.com/ware/view.action?wareId=10845129 - platoli