论网站漏洞的预防和治理

2020-10-07 13:31:26
黄豆   UsualTool.com  
原创博文 656
loading

网站漏洞不可怕,被攻击也不可怕,可怕的是一味妥协,只会被人追着让人干。

现在PHP系统几乎大行其道,对于加“盐”的口令,就算后端代码写的有多疏漏/多垃圾,用口令限制登录的页面几乎不可能绕过,因为攻击者需要解析加盐的口令,就目前的技术水平这几乎不大可能实现。我们今天主要讲一下网站漏洞预防和治理的几个面:

1 权限
给不同的目录合适的权限。上传/图片/样式/JS文件目录禁止脚本访问,限制访问文件的后缀。你可以写入、修改文件,但不能执行诸如PHPASP等脚本,即无执行脚本权限。这样即使他上传了一个PHP文件,在该目录也无法执行。

2 上传
由于前面我们限制了执行权限,所以上传无论他上传什么文件就不必担心。那么上传需要注意什么呢?就是防止用户跨目录上传,比如应当上传到./img目录,攻击者伪造成 ../.././img或./img/../../诸如此类。这就要求我们在上传时严格限制上传目录路径,写死,不接收REQUEST/GET/POST目录地址!

3 过滤
PHP与ASP一样,作为一种脚本语言,伴随它而生了各种危险的字符注入,这就需要我们对用户提交的每一个字符进行严格的过滤,阻止这些危险的字符串储存和执行查询。

做好以上3点,你不需要再为漏洞而烦恼,因为你已将99%的小虾米拒之门外。

有MJJ问,你为什么不提及纯静态技术呢?很抱歉,我认为这不是一种技术。纯静态的确对防治漏洞有很大奇效,但这也加大了站长的工作量。若静态页面所在服务器被统一挂马,请问你要清理到何时?当然也可以把静态页面放到OSS这类云储存上,但这只对部分完全无互动的站点有效,当今互联网,几乎不存在无互动栏目的站点了吧?

所以我不赞成站长为了漏洞担忧而去全站静态迁移,这种心思只会助长攻击者的信心。

我要说,我不怕它!从另一方面,有攻击者、漏洞的存在,在不断的交锋中,才能让网站提升的更加安全可靠。

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开微信扫一扫,即可进行扫码打赏哦!

+分享给朋友+
昵称

评论内容

请自觉遵守相关法规,文明评论!
郑重提醒:部分素材来源于互联网,如果侵犯了您的权利,请及时联络我们更正,谢谢合作,电邮:help@usualtool.com