- 论坛徽章:
- 0
|
Web服务器安全
系统级别
1.最小化开放服务器的端口,例如纯web的话对外的一般只开放80,443端口;
2.帐户安全,要使用强密码,定时更改,对用户进行合适限制分配;例如apache运行的用户应该限制为nologin,忌直接使用root运行;
3.良好的日志记录与管理;
4.养成良好的使用习惯,例如避免以下操作mysql -uroot -p123345,不要把密码直接明文明显示;
5.避免使用老去的技术,使用ftp,telnet这些服务,现在系统完全有其替代的产品。
数据库
1.合理设计数据库,例如保存时间戳字段,应该优先使用整型,而不是varchar;
2.用户权限,root用户不要用于程序连接,程序连接数据的用户限制合理的限制;一般Web程序权限select,insert,delete,update;
3.数据库保存目录,权限读写合理控制;
web服务器
1.运行用户,避免使用root运行;
2.编译时最小化安装;
3.监听指定域名的端口;例如只是提供单域名的服务器,在listen时指定xx.com 80;
4.减少web服务器信息暴露;例如隐藏apache版本,禁止目录浏览等。
PHP脚本
1.php编译安装时合理选择模块,php.ini里隐藏php版本,避免使用cgi模式运行;
2.限制php对文件系统的访问;
3.防止代码注入,GET/POST/COOKIE/SERVER等传入参数值合理过滤;
4.用户密码的数据,千万不要使用明文储存到数据库;
5.善用验证码与ip模块限制,减少暴力注入垃圾信息的机率。
前端js
1.防止xxs攻击。 |
|
免费注册
发表于 2013-04-07 08:07
发表于 2013-04-08 16:21
