早期的建站确实面临很多安全风险,比如较多的应用开源CMS,让SQL注入、XSS、后门入侵相对容易。现在开发阶段用的框架很多基本上也是对各种入侵策略非安全策略进行严打严控。我们想提升网站安全需要关注那些场景呢?
1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)、网络端口管理等,这个是基础。服务器被入侵一般都是以下几种情况
1)漏洞, 又分为服务器环境的漏洞和使用程序的漏洞
2)弱口令, 服务器账号或管理员账号的密码存在简单的弱口令, 被黑客猜解出来了, 如果经常看服务器系统日志的朋友可能会知道, 经常会有陌生的ip在扫描服务器指定的端口,比如22端口
3)权限设置不合理, 如果权限设置不合理的话, 黑客很容易就能通过一个简单的脚本或几行代码就能进行提权,进行破坏。
2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4、WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。这只是大概说了一下,关于WEB应用服务器的安全从来都不是一个独立存在的问题。
还有哪些方向我们可以系统化的规范呢?
数据安全(全量、增量备份,异地互备)
服务器(安全补丁、账号安全、安全日志、防火墙配置、进程检查、系统文件篡改检查等)
开发安全(了解安全知识,了解常见攻击手段,提高安全意识)