服務(wù)器安全基礎(chǔ)知識(shí)

這里我說(shuō)一下服務(wù)器安全知識(shí)吧，雖然我很早之前想過(guò)要搞黑客技術(shù)，但是因?yàn)榉N種原因我最終也沒有搞黑客技術(shù)，不過(guò)我還是很關(guān)心安全領(lǐng)域的。

很早之前我搭建服務(wù)器只是為了測(cè)試我所學(xué)的知識(shí)，安全沒有怎么關(guān)注，服務(wù)器一直被各種攻擊，我當(dāng)時(shí)也沒怎么注意，后來(lái)我還是真正去使用服務(wù)器去搭建正式的網(wǎng)站了，才感到安全問(wèn)題的緊迫性。

我最開始的服務(wù)器用的是phpstudy，一開始會(huì)有默認(rèn)的界面，提示你配置成功了，其實(shí)這些只是一個(gè)測(cè)試界面，有很多敏感的數(shù)據(jù)和很多可以注入的漏洞，不管是iis還是tomcat這些都要第一時(shí)間把默認(rèn)界面刪除掉。

當(dāng)我們配置mysql的時(shí)候，端口不要設(shè)置成3306的默認(rèn)端口，要寫一個(gè)不容易猜到的端口。密碼也不要默認(rèn)要盡量復(fù)雜(我有個(gè)同學(xué)，數(shù)據(jù)庫(kù)直接沒密碼，然后有一次就被當(dāng)成肉雞了，他一個(gè)月的服務(wù)器流量就這樣沒了…)，還要把數(shù)據(jù)庫(kù)的遠(yuǎn)程連接功能關(guān)閉。

用戶賬戶要經(jīng)常關(guān)注，不必要的帳號(hào)要及時(shí)清除，有時(shí)攻擊者有可能會(huì)留下一個(gè)賬戶，如果是日常開發(fā)維護(hù)盡量不要用超級(jí)管理員帳號(hào)，密碼要盡量復(fù)雜且經(jīng)常改密。

如果你是剛剛接觸服務(wù)器，還是建議安裝一個(gè)安全軟件，好多注冊(cè)表規(guī)則和系統(tǒng)權(quán)限都不用自己去配置，安全軟件有很多，我就不做廣告了，我用的軟件也不多，說(shuō)不出什么好的。

服務(wù)器的配置我也不是一下子配置好的，現(xiàn)在想起來(lái)這些先寫一下，下面就是對(duì)用戶訪問(wèn)的控制了，具體的訪問(wèn)控制我前面寫apache配置的時(shí)候也說(shuō)了很多了，總之就要寫盡量嚴(yán)格的訪問(wèn)規(guī)則。其實(shí)有些比如：防止暴力破解，預(yù)防DDOS這些配置，一般的服務(wù)器安全軟件都可以給你自動(dòng)設(shè)置的。數(shù)據(jù)庫(kù)密碼不要使用超級(jí)管理員，web服務(wù)需要什么權(quán)限就分配什么權(quán)限，隱藏后臺(tái)的錯(cuò)誤信息。

光運(yùn)維也不行，還要研發(fā)的事情(一般安全問(wèn)題被曝光，首先罵運(yùn)維…其實(shí)研發(fā)也要背鍋的，不過(guò)得看是什么類型的安全問(wèn)題了)

對(duì)于用戶傳參的限制不要只在前端，真正想攻擊網(wǎng)站的人肯定不會(huì)再網(wǎng)頁(yè)去填寫一些代碼的，要在后臺(tái)加一嚴(yán)格的限制，上傳文件的可以設(shè)置文件夾目錄的執(zhí)行權(quán)限。我一般都對(duì)用戶傳參加以嚴(yán)格限制，比如后臺(tái)接口所需要的參數(shù)都是一些字母或者數(shù)字，那么我就用正則匹配只匹配我需要的字母或者數(shù)字就行了。這里還要了解一些常見的黑客攻擊手段，比如XSS,CSRF,sql注入等。平時(shí)威脅大的數(shù)據(jù)庫(kù)注入，一般使用PDO的綁定查詢就可以解決注入問(wèn)題，當(dāng)然自己也可以去正則限定數(shù)據(jù)，轉(zhuǎn)義或者編碼儲(chǔ)存。對(duì)于用戶隱私數(shù)據(jù)要有業(yè)界良心加密儲(chǔ)存，對(duì)于密碼就直接使用改進(jìn)型hash加密(php內(nèi)置password_hash函數(shù))，不要使用不安全的md5和sha1.

記住，永遠(yuǎn)不要相信用戶輸入的數(shù)據(jù)。

其實(shí)我說(shuō)的只是一小部分，也是最最初級(jí)的，這些也是我之前開發(fā)+運(yùn)維的時(shí)候總結(jié)的一些知識(shí)，都是瑣碎東西，記得不是很全，想起來(lái)我再添加吧~