盡量將埠禁用,盡量不要將埠暴露在公網,盡量僅供127.0.0.1訪問如非必要,盡量不要將服務暴露在公網,尤其是資料庫等服務
設定連續登入失敗禁用一段時間,防爆破
攻擊者一般直接使用ip來攻擊**,可以將ip訪問的預設**只寫乙個首頁上述不利於搜尋引擎收錄,可以將搜尋引擎的網域名稱加入白名單使用nginx**
避免js操作cookie,開啟http_only
nginx提供限制訪問模組,防護cc與ddoslimit_conn_zone $binary_remote_addr
zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m;
limit_req_zone $binary_remote_addr zone=allips:10m rate=10r/s;
伺服器設定使用者啟動某服務,非該服務使用者不允許訪問與執行
非常危險的函式eval
system
exec
shell_exec
pcntl_exec
pcntl_fork
pcntl_exec
強烈建議禁止的函式
passthru
putenv
chroot
chgrp
chown
popen
proc_open
ini_alter
ini_restore
dlopenlog
syslog
readlink
symlink
popepassthru
pcntl_alarm
pcntl_waitpid
pcntl_wait
pcntl_wifexited
pcntl_wifstopped
pcntl_wifsignaled
pcntl_wifcontinued
pcntl_wexitstatus
pcntl_wtermsig
pcntl_wstopsig
pcntl_signal
pcntl_signal_dispatch
pcntl_get_last_error
pcntl_strerror
pcntl_sigprocmask
pcntl_sigwaitinfo
pcntl_sigtimedwait
pcntl_getpriority
pcntl_setpriority
imap_open
apache_setenv
及時打補丁,thinkphp發布的漏洞警告務必及時跟進打補丁設定全域性過濾規則 default_filter ,防止xss、sql注入等
查詢條件盡量使用陣列方式,如果必須使用字串,那麼建議使用預處理機制
啟動目錄務必設定在內部目錄,即tp建議的public目錄下,防止惡意瀏覽掃瞄目錄,並且public目錄下除了靜態資源和啟動入口外不要放置其他檔案
上傳檔案使用tp提供的think\upload類,提供對檔案的型別、字尾、大小及上傳檔案的合法檢查
使用強制路由模式,在route.php中配置可訪問的路由,未定義的路由訪問一律會自動丟擲異常
對於有明確型別的請求變數,可以在使用param方法的時候使用型別強制轉換
linux簡單的安全防護
注 1 該指令碼是以centos7.4.1708做的 2 函式jia jian是加許可權 減許可權 3 改過密碼以後,下次使用新建立的使用者登入時將提示更改密碼,第一次要輸入原始的密碼,原始密碼改指令碼中定義的為123456 新密碼必須為複雜的才能使用,比如aa7788flz 5 bin bash ...
安全防護1
以下都以asp.net開發 為例。1 sql注入漏洞。解決辦法 使用儲存過程,引數不要用字串拼接。簡單改進辦法 使用sqlhelper和oledbhelper 2 跨站指令碼漏洞 解決辦法 預設禁止,顯式允許 的策略。具體參考 從客戶端檢測到有潛在危險的request.form值,禁止提交html標...
SELinux安全防護
實現此案例需要按照如下步驟進行。步驟一 將linux伺服器的selinux設為enforcing強制模式 1 固定配置 修改 etc selinux config檔案 確認或修改selinux為enforcing模式 root svr5 vim etc selinux config selinux ...