一：網(wǎng)站程序的安全

1：概述

網(wǎng)站開發(fā)環(huán)節(jié)的安全很重要。代碼如果存在漏洞，將導(dǎo)致網(wǎng)站被黑客控制，甚至刪除，篡改網(wǎng)站文件，脫褲導(dǎo)致數(shù)據(jù)庫(kù)泄露，SEO排名下降，系統(tǒng)無法正常運(yùn)轉(zhuǎn)，甚至提權(quán)到服務(wù)器權(quán)限，使損失更大。

2：影響

對(duì)于小型展示型企業(yè)網(wǎng)站來說，一般會(huì)被掛黑鏈，搞黑帽SEO，設(shè)置掛黑頁什么的。小型展示型企業(yè)一般沒有核心商業(yè)數(shù)據(jù)，一般遭受的損失一般是臉面問題，還有被搜索引擎降權(quán)導(dǎo)致排名下降所引發(fā)的客戶增長(zhǎng)率下降等。

但是對(duì)于有商業(yè)數(shù)據(jù)的網(wǎng)站來說，網(wǎng)站被入侵那是一件很重大的事情，處理不好甚至可以導(dǎo)致企業(yè)倒閉。

3：防范

要最大化防止網(wǎng)站被黑客入侵（只能說最大化，安全沒有百分百），在項(xiàng)目的開發(fā)階段，就需要找有實(shí)力的開發(fā)者進(jìn)行系統(tǒng)構(gòu)架和代碼編寫。這個(gè)有實(shí)力不僅僅是說代碼的運(yùn)行效率高，承載量大。而是不但滿足前面的條件，還要對(duì)代碼安全有充分的了解，熟悉各種主流的攻擊手段，知道漏洞的形成原因，從開發(fā)階段就盡量避免漏洞。

現(xiàn)在SQL注入漏洞和上傳漏洞已經(jīng)比較少，但是XSS漏洞等還是層出不窮。

說到這里不由得想為我們團(tuán)隊(duì)-》代碼安全團(tuán)隊(duì)( C.S.T）打個(gè)廣告，畢竟我們團(tuán)隊(duì)主打的就是“安全開發(fā)”，開發(fā)者不但擁有黑客技能，同時(shí)在開發(fā)領(lǐng)域至少有5年以上經(jīng)驗(yàn)。但是可惜的是現(xiàn)在團(tuán)隊(duì)核心成員少，單子有點(diǎn)多不一定忙得過來。

系統(tǒng)的構(gòu)架也很重要，如果有一個(gè)好的構(gòu)架，靈活，對(duì)于后期做防護(hù)等都是很有利的。如果說開發(fā)階段已經(jīng)完成，業(yè)務(wù)已經(jīng)運(yùn)轉(zhuǎn)已久，重新開發(fā)和設(shè)計(jì)成本就比較大了，那么我推薦使用以下方法在代碼安全方面進(jìn)行加固和防御：

1：黑盒安全滲透測(cè)試

黑盒測(cè)試可以找擁有滲透測(cè)試經(jīng)驗(yàn)的人員進(jìn)行授權(quán)的安全測(cè)試，簡(jiǎn)單說就是授權(quán)黑客對(duì)網(wǎng)站進(jìn)行一系列的攻擊測(cè)試，但不進(jìn)行破壞。看看有沒有潛在的漏洞，然后修補(bǔ)之。這類服務(wù)比較完善的有好幾家眾測(cè)平臺(tái)，比如漏洞盒子。

2：白盒安全滲透測(cè)試

白盒測(cè)試因?yàn)樯婕暗酱a的保密性，一般只能由公司內(nèi)部人員進(jìn)行分析和測(cè)試。這就需要企業(yè)有這方面的人才了。

3：安全軟件/設(shè)備

在WEB安全防御方面，使用安全軟件對(duì)于沒有安全技術(shù)人員的企業(yè)來說，是一個(gè)低成本高效率的方式。前端防火墻WAF, 服務(wù)器上運(yùn)行的防護(hù)系統(tǒng)，硬件防火墻等一系列設(shè)備。

4：其他建議

系統(tǒng)管理地址一定要隱藏好。

最簡(jiǎn)單的就是后臺(tái)改名為一個(gè)比較復(fù)雜的名字

進(jìn)階點(diǎn)的就是使用二級(jí)域名或者其他域名進(jìn)行管理

高級(jí)點(diǎn)的就是前臺(tái)，后臺(tái)，數(shù)據(jù)庫(kù)等都分離。后臺(tái)放到另外一個(gè)服務(wù)器上，使用其他域名，限制訪問IP或者設(shè)備等。

二：服務(wù)器安全

黑客攻擊也可以分為“流氓式攻擊”和“非流氓式攻擊”。

額，我所說的流氓式攻擊呢，主要代表就是以DDOS,CC等拒絕服務(wù)的攻擊方式。因?yàn)椴还苣阌袥]有漏洞，別人都可以“攻擊”，而攻擊的影響程度，來自于攻擊者所掌握的肉雞數(shù)量和配置情況。而這種攻擊不涉及到數(shù)據(jù)泄露等情況，主要是導(dǎo)致網(wǎng)站打不開，服務(wù)器掛掉。但也不排除這是某持續(xù)性APT攻擊的某一環(huán)節(jié)。

非流氓式攻擊呢，比較有技術(shù)含量性。主要代表就是利用漏洞，各種薄弱點(diǎn)，通過安全經(jīng)驗(yàn)和技術(shù)手段獲取到服務(wù)器的權(quán)限。

關(guān)于防范：

1：防范流氓式攻擊：

防范流氓式攻擊，可以使用抗攻擊服務(wù)器或者流量清洗服務(wù)，或者防火墻設(shè)備。同時(shí)，也盡量隱藏服務(wù)器的真實(shí)IP。比如使用反向代理隱藏之類的

2：防范非流氓式攻擊：

沒能力，資金少的可以使用安全軟件

有能力的資金少的可以自己運(yùn)維，寫一些適合自己業(yè)務(wù)的安全小工具也非常不錯(cuò)的。

有能力又有資金的，可以請(qǐng)安全團(tuán)隊(duì)提供技術(shù)保障。或者請(qǐng)安全團(tuán)隊(duì)做出各種安全方案，配置好各種環(huán)境，然后自己運(yùn)維。

防范服務(wù)器攻擊，是個(gè)長(zhǎng)期活。因?yàn)槟悴恢滥壳罢谑褂玫南到y(tǒng)，或者環(huán)境什么時(shí)候會(huì)突然爆出一個(gè)漏洞。

基礎(chǔ)的防范手段有：

賬戶權(quán)限的嚴(yán)格管理

安全策略

文件/文件夾等權(quán)限的嚴(yán)格分配（特別是寫入和執(zhí)行權(quán)限）

防火墻的配置

軟件的配置（比如apache,iis,nginx,php,ftp服務(wù)端等的安全配置）

漏洞補(bǔ)丁

限制遠(yuǎn)程登錄IP（比如，設(shè)為企業(yè)專用線路IP才可以管理）

防止爆破，限制錯(cuò)誤次數(shù)

弱口令一定要杜絕

備份，安全的備份

....

其他說明：

服務(wù)器的選購(gòu)也很重要。最好不要圖便宜在某寶買服務(wù)器。當(dāng)然也不一定非要選擇某些大品牌。有的服務(wù)器提供商，做的有內(nèi)網(wǎng)隔離，這個(gè)對(duì)于防止討厭的內(nèi)網(wǎng)ARP攻擊很不錯(cuò)！

三：管理者的安全意識(shí)

好吧，就算系統(tǒng)沒有漏掉，要是管理設(shè)置個(gè)admin,123456之類的弱口令密碼，那也是一個(gè)很低端的問題。

當(dāng)然不僅僅局限于這些簡(jiǎn)單的密碼，黑客也經(jīng)常使用社會(huì)工程學(xué)攻擊手法，收集一切能收集的信息。并且由于近年來的數(shù)據(jù)泄露，比較全的社工庫(kù)也是一個(gè)秘密武器。

比如管理者的郵箱，手機(jī)，姓名，以前泄露過的密碼，電話，企業(yè)名稱，出生年月等等，都很有可能被收集到！然后黑客使用工具進(jìn)行自動(dòng)的組合，進(jìn)行密碼爆破。

還有，針對(duì)管理員的個(gè)人攻擊，也很考驗(yàn)安全意識(shí)，比如；

1：給管理員發(fā)送一個(gè)惡意的郵件。

這個(gè)郵件，里面可能是一個(gè)釣魚鏈接，也可能里面包含一個(gè)惡意附件。甚至就只是個(gè)看起來很正常的execl文件。比如利用最近的 Microsoft Office CVE-2017-11882漏洞。

2：以客戶或者其他身份，誘騙管理員點(diǎn)擊某一鏈接。

這個(gè)鏈接，有可能就是一個(gè)包含CSRF漏洞利用的鏈接~ ，如果管理員沒有安全軟件，瀏覽器也低級(jí)，說不定直接種個(gè)網(wǎng)馬~~

還有很多，時(shí)間有限就不一一說了

四：安全審計(jì)

各種日志的記錄，審計(jì)也是保障安全的一個(gè)很重要的手段。甚至可以第一時(shí)間得到預(yù)警，知道有人正在搞攻擊了！同時(shí)也可以分析出漏洞的成因，利用方法，更可以作為取證的關(guān)鍵點(diǎn)。

操作系統(tǒng)日志，WEB服務(wù)器日志，數(shù)據(jù)庫(kù)日志，這3個(gè)都是很重要的監(jiān)控記錄對(duì)象。

五：關(guān)于防止脫褲

防止被脫褲，可以給個(gè)思路，主要是對(duì)數(shù)據(jù)庫(kù)的重要字段進(jìn)行加密儲(chǔ)存。團(tuán)隊(duì)正在計(jì)劃開發(fā)一個(gè)適合中小企業(yè)的類似于中間件的數(shù)據(jù)庫(kù)安全軟件。但還沒有出來，就不細(xì)說了。網(wǎng)上也有數(shù)據(jù)庫(kù)防火墻可以作為選擇。