服務(wù)器安全基礎(chǔ)知識(shí)

2022-10-02    分類: 網(wǎng)站建設(shè)

這里我說一下服務(wù)器安全知識(shí)吧,雖然我很早之前想過要搞黑客技術(shù),但是因?yàn)榉N種原因我最終也沒有搞黑客技術(shù),不過我還是很關(guān)心安全領(lǐng)域的。

很早之前我搭建服務(wù)器只是為了測試我所學(xué)的知識(shí),安全沒有怎么關(guān)注,服務(wù)器一直被各種攻擊,我當(dāng)時(shí)也沒怎么注意,后來我還是真正去使用服務(wù)器去搭建正式的網(wǎng)站了,才感到安全問題的緊迫性。

我最開始的服務(wù)器用的是phpstudy,一開始會(huì)有默認(rèn)的界面,提示你配置成功了,其實(shí)這些只是一個(gè)測試界面,有很多敏感的數(shù)據(jù)和很多可以注入的漏洞,不管是iis還是tomcat這些都要第一時(shí)間把默認(rèn)界面刪除掉。

當(dāng)我們配置mysql的時(shí)候,端口不要設(shè)置成3306的默認(rèn)端口,要寫一個(gè)不容易猜到的端口。密碼也不要默認(rèn)要盡量復(fù)雜(我有個(gè)同學(xué),數(shù)據(jù)庫直接沒密碼,然后有一次就被當(dāng)成肉雞了,他一個(gè)月的服務(wù)器流量就這樣沒了…),還要把數(shù)據(jù)庫的遠(yuǎn)程連接功能關(guān)閉。

用戶賬戶要經(jīng)常關(guān)注,不必要的帳號(hào)要及時(shí)清除,有時(shí)攻擊者有可能會(huì)留下一個(gè)賬戶,如果是日常開發(fā)維護(hù)盡量不要用超級(jí)管理員帳號(hào),密碼要盡量復(fù)雜且經(jīng)常改密。

如果你是剛剛接觸服務(wù)器,還是建議安裝一個(gè)安全軟件,好多注冊表規(guī)則和系統(tǒng)權(quán)限都不用自己去配置,安全軟件有很多,我就不做廣告了,我用的軟件也不多,說不出什么好的。

服務(wù)器的配置我也不是一下子配置好的,現(xiàn)在想起來這些先寫一下,下面就是對用戶訪問的控制了,具體的訪問控制我前面寫apache配置的時(shí)候也說了很多了,總之就要寫盡量嚴(yán)格的訪問規(guī)則。其實(shí)有些比如:防止暴力破解,預(yù)防DDOS這些配置,一般的服務(wù)器安全軟件都可以給你自動(dòng)設(shè)置的。數(shù)據(jù)庫密碼不要使用超級(jí)管理員,web服務(wù)需要什么權(quán)限就分配什么權(quán)限,隱藏后臺(tái)的錯(cuò)誤信息。

光運(yùn)維也不行,還要研發(fā)的事情(一般安全問題被曝光,首先罵運(yùn)維…其實(shí)研發(fā)也要背鍋的,不過得看是什么類型的安全問題了)

對于用戶傳參的限制不要只在前端,真正想攻擊網(wǎng)站的人肯定不會(huì)再網(wǎng)頁去填寫一些代碼的,要在后臺(tái)加一嚴(yán)格的限制,上傳文件的可以設(shè)置文件夾目錄的執(zhí)行權(quán)限。我一般都對用戶傳參加以嚴(yán)格限制,比如后臺(tái)接口所需要的參數(shù)都是一些字母或者數(shù)字,那么我就用正則匹配只匹配我需要的字母或者數(shù)字就行了。這里還要了解一些常見的黑客攻擊手段,比如XSS,CSRF,sql注入等。平時(shí)威脅大的數(shù)據(jù)庫注入,一般使用PDO的綁定查詢就可以解決注入問題,當(dāng)然自己也可以去正則限定數(shù)據(jù),轉(zhuǎn)義或者編碼儲(chǔ)存。對于用戶隱私數(shù)據(jù)要有業(yè)界良心加密儲(chǔ)存,對于密碼就直接使用改進(jìn)型hash加密(php內(nèi)置password_hash函數(shù)),不要使用不安全的md5和sha1.

記住,永遠(yuǎn)不要相信用戶輸入的數(shù)據(jù)。

其實(shí)我說的只是一小部分,也是最最初級(jí)的,這些也是我之前開發(fā)+運(yùn)維的時(shí)候總結(jié)的一些知識(shí),都是瑣碎東西,記得不是很全,想起來我再添加吧~

服務(wù)器安全基礎(chǔ)知識(shí)

網(wǎng)站標(biāo)題:服務(wù)器安全基礎(chǔ)知識(shí)
本文網(wǎng)址:http://muchs.cn/news4/200554.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司網(wǎng)頁設(shè)計(jì)公司微信公眾號(hào)、動(dòng)態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)