网站安全总结

一、服务器系统安全

• A. 服务器硬件：主要为硬盘数据及时备份及异地备份或双硬盘。

• B. 服务器软件：

  • 1. 服务器密码定期修改（一个月）并符合复杂性要求。[linux 下将 root 用户改名并修改或隐藏系统的 banner 信息]。
  • 2. 及时打补丁、升级等 [关注官方漏洞列表]。
  • 3. 设置加密码连接并修改连接端口、关闭或卸载不必要的服务、端口。
  • 4.linux 下，设置严格的 iptables 策略、设置 web 执行用户操作服务器的权限。
  • 5. 开启 SSL 安全访问。

威胁说明：1.root 暴力破解。2. 针对 banner 信息特定攻击。3. 新漏洞利用攻击。4. 远程连接劫持。5. 利用其他易忽略服务攻击。6. 利用 web 软件提权。

二、目录安全（威胁：）

• A. 将项目、框架目录放置在 web 目录之外 [只将部分目录如公共目录及图片上传放在 web 目录下]。
• B. 设置上传目录的权限为只读写，不执行程序代码（或将上传目录放于另一域名下）。

威胁说明：目录结构暴露及伪图片 / 图片木马攻击。模板及程序被下载。

三、代码安全

• A.httpoly 开启 (虽然用处不大)。
• B.cookie 安全 cookie 名称及值加密
• C.Web 跨域提交攻击及跨页面提交 [设置 URL 认证及签名 cookie 及 hidden 的 token 或令牌]
• D. 数据过滤安全 XSS：1. 接收用户数严格过滤。2. 入库转实体。
• E. 表单安全：加验证码及 C 的方式。

• F. 逻辑安全：

  • 1. 接收参数如 ID 是否存。
  • 2.ID 是否转整或字符是否转强换及过滤。
  • 3. 判断数据库是否存该记录。
  • 4. 存在是否符合要求（如所属主是否有权限操作）。等等（多想想）。

威胁说明：1.cookie 盗取及利用。2. 跨域攻击（机器远程攻击）。3.XSS 攻击提权。4. 表单机器提交等。

四、程序文件安全

• A. 模板文件暴露及字段猜解。程序文件名暴露及程序被下载。
• B. 其他未知安全。

威胁及方案：采用二的目录安全可解决。

五、数据库安全

• A. 数据库异地备份、数据逆向同步备份。
• B. 修改 banner 信息。定期修改 mysql 的 root 密码，设置远程连接数据库的权限（最好禁止远程连接）
• C. 表字段及数据库加前缀。
• D. 修改 mysql 的端口号。

六、其他安全

• A. 生成静态文件访问。
• B. 设置伪静态。
• C. 屏蔽错误信息。

总结：以上为个人平时经验及实验总结（仅供参考）。当然还有很多的攻击方式未写到。总结解决方案也未必完美，由于个人水平有限及遇到的情况所限，还有待更多的朋友分享。
如有其他疑问请联系：15210079701@126.com《PHP 及安全爱好者 - 李伟杰（原创）》*