网站安全总结

网站安全总结

一、服务器系统安全

• A.服务器硬件：主要为硬盘数据及时备份及异地备份或双硬盘。

• B.服务器软件：

  • 1.服务器密码定期修改（一个月）并符合复杂性要求。[linux下将root用户改名并修改或隐藏系统的banner信息]。
  • 2.及时打补丁、升级等[关注官方漏洞列表]。
  • 3.设置加密码连接并修改连接端口、关闭或卸载不必要的服务、端口。
  • 4.linux下，设置严格的iptables策略、设置web执行用户操作服务器的权限。
  • 5.开启SSL安全访问。

威胁说明：1.root暴力破解。2.针对banner信息特定攻击。3.新漏洞利用攻击。4.远程连接劫持。5.利用其他易忽略服务攻击。6.利用web软件提权。

二、目录安全（威胁：）

• A.将项目、框架目录放置在web目录之外[只将部分目录如公共目录及图片上传放在web目录下]。
• B.设置上传目录的权限为只读写，不执行程序代码（或将上传目录放于另一域名下）。

威胁说明：目录结构暴露及伪图片/图片木马攻击。模板及程序被下载。

三、代码安全

• A.httpoly 开启(虽然用处不大)。
• B.cookie安全cookie名称及值加密
• C.Web跨域提交攻击及跨页面提交[设置URL认证及签名cookie及hidden的token或令牌]
• D.数据过滤安全XSS：1.接收用户数严格过滤。2.入库转实体。
• E.表单安全：加验证码及C的方式。

• F.逻辑安全：

  • 1.接收参数如ID是否存。
  • 2.ID是否转整或字符是否转强换及过滤。
  • 3.判断数据库是否存该记录。
  • 4.存在是否符合要求（如所属主是否有权限操作）。等等（多想想）。

威胁说明：1.cookie盗取及利用。2.跨域攻击（机器远程攻击）。3.XSS攻击提权。4.表单机器提交等。

四、程序文件安全

• A.模板文件暴露及字段猜解。程序文件名暴露及程序被下载。
• B.其他未知安全。

威胁及方案：采用二的目录安全可解决。

五、数据库安全

• A.数据库异地备份、数据逆向同步备份。
• B.修改banner信息。定期修改mysql的root密码，设置远程连接数据库的权限（最好禁止远程连接）
• C.表字段及数据库加前缀。
• D.修改mysql的端口号。

六、其他安全

• A.生成静态文件访问。
• B.设置伪静态。
• C.屏蔽错误信息。

总结：以上为个人平时经验及实验总结（仅供参考）。当然还有很多的攻击方式未写到。总结解决方案也未必完美，由于个人水平有限及遇到的情况所限，还有待更多的朋友分享。
如有其他疑问请联系：[email protected]《PHP及安全爱好者-李伟杰（原创）》*