早期的建站确实面临很多安全风险,像比较有名的SQL注入、XSS,用什么阿D、明小子 之类的软件轻松提权,然后用灰鸽子一控制,就为所欲为了,但这只能吹牛逼了,现在开发阶段用的框架哪个不能把你防的死死的,除非很low 的开发用很古老的技术,那样的站点被黑了会有什么损失?
如果非要强调安全,我觉得做好以下几点:
数据安全(全量、增量备份,异地互备)
服务器(安全补丁、账号安全、安全日志、防火墙配置、进程检查、系统文件篡改检查等)
开发安全(了解安全知识,了解常见攻击手段,提高安全意识)
其它 有些开源系统某个版本后门都众所周知了,就不要用了,用新的版本或其它产品
1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)、网络端口管理等,这个是基础。服务器被入侵一般都是以下几种情况
一: 漏洞, 又分为服务器环境的漏洞和使用程序的漏洞
二: 弱口令, 服务器账号或管理员账号的密码存在简单的弱口令, 被黑客猜解出来了, 如果经常看服务器系统日志的朋友可能会知道, 经常会有陌生的ip在扫描服务器指定的端口,比如22端口
三: 权限设置不合理, 如果权限设置不合理的话, 黑客很容易就能通过一个简单的脚本或几行代码就能进行提权,进行破坏。
2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4、WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。这只是大概说了一下,关于WEB应用服务器的安全从来都不是一个独立存在的问题。
