一：網(wǎng)站程序的安全

1：概述

網(wǎng)站開發(fā)環(huán)節(jié)的安全很重要。代碼如果存在漏洞，將導(dǎo)致網(wǎng)站被黑客控制，甚至刪除，篡改網(wǎng)站文件，脫褲導(dǎo)致數(shù)據(jù)庫泄露，SEO排名下降，系統(tǒng)無法正常運轉(zhuǎn)，甚至提權(quán)到服務(wù)器權(quán)限，使損失更大。

2：影響

對于小型展示型企業(yè)網(wǎng)站來說，一般會被掛黑鏈，搞黑帽SEO，設(shè)置掛黑頁什么的。小型展示型企業(yè)一般沒有核心商業(yè)數(shù)據(jù)，一般遭受的損失一般是臉面問題，還有被搜索引擎降權(quán)導(dǎo)致排名下降所引發(fā)的客戶增長率下降等。

但是對于有商業(yè)數(shù)據(jù)的網(wǎng)站來說，網(wǎng)站被入侵那是一件很重大的事情，處理不好甚至可以導(dǎo)致企業(yè)倒閉。

3：防范

要最大化防止網(wǎng)站被黑客入侵（只能說最大化，安全沒有百分百），在項目的開發(fā)階段，就需要找有實力的開發(fā)者進行系統(tǒng)構(gòu)架和代碼編寫。這個有實力不僅僅是說代碼的運行效率高，承載量大。而是不但滿足前面的條件，還要對代碼安全有充分的了解，熟悉各種主流的攻擊手段，知道漏洞的形成原因，從開發(fā)階段就盡量避免漏洞。

現(xiàn)在SQL注入漏洞和上傳漏洞已經(jīng)比較少，但是XSS漏洞等還是層出不窮。

說到這里不由得想為我們團隊-》代碼安全團隊( C.S.T）打個廣告，畢竟我們團隊主打的就是“安全開發(fā)”，開發(fā)者不但擁有黑客技能，同時在開發(fā)領(lǐng)域至少有5年以上經(jīng)驗。但是可惜的是現(xiàn)在團隊核心成員少，單子有點多不一定忙得過來。

系統(tǒng)的構(gòu)架也很重要，如果有一個好的構(gòu)架，靈活，對于后期做防護等都是很有利的。如果說開發(fā)階段已經(jīng)完成，業(yè)務(wù)已經(jīng)運轉(zhuǎn)已久，重新開發(fā)和設(shè)計成本就比較大了，那么我推薦使用以下方法在代碼安全方面進行加固和防御：

1：黑盒安全滲透測試

黑盒測試可以找擁有滲透測試經(jīng)驗的人員進行授權(quán)的安全測試，簡單說就是授權(quán)黑客對網(wǎng)站進行一系列的攻擊測試，但不進行破壞。看看有沒有潛在的漏洞，然后修補之。這類服務(wù)比較完善的有好幾家眾測平臺，比如漏洞盒子。

2：白盒安全滲透測試

白盒測試因為涉及到代碼的保密性，一般只能由公司內(nèi)部人員進行分析和測試。這就需要企業(yè)有這方面的人才了。

3：安全軟件/設(shè)備

在WEB安全防御方面，使用安全軟件對于沒有安全技術(shù)人員的企業(yè)來說，是一個低成本高效率的方式。前端防火墻WAF, 服務(wù)器上運行的防護系統(tǒng)，硬件防火墻等一系列設(shè)備。

4：其他建議

系統(tǒng)管理地址一定要隱藏好。

最簡單的就是后臺改名為一個比較復(fù)雜的名字

進階點的就是使用二級域名或者其他域名進行管理

高級點的就是前臺，后臺，數(shù)據(jù)庫等都分離。后臺放到另外一個服務(wù)器上，使用其他域名，限制訪問IP或者設(shè)備等。

二：服務(wù)器安全

黑客攻擊也可以分為“流氓式攻擊”和“非流氓式攻擊”。

額，我所說的流氓式攻擊呢，主要代表就是以DDOS,CC等拒絕服務(wù)的攻擊方式。因為不管你有沒有漏洞，別人都可以“攻擊”，而攻擊的影響程度，來自于攻擊者所掌握的肉雞數(shù)量和配置情況。而這種攻擊不涉及到數(shù)據(jù)泄露等情況，主要是導(dǎo)致網(wǎng)站打不開，服務(wù)器掛掉。但也不排除這是某持續(xù)性APT攻擊的某一環(huán)節(jié)。

非流氓式攻擊呢，比較有技術(shù)含量性。主要代表就是利用漏洞，各種薄弱點，通過安全經(jīng)驗和技術(shù)手段獲取到服務(wù)器的權(quán)限。

關(guān)于防范：

1：防范流氓式攻擊：

防范流氓式攻擊，可以使用抗攻擊服務(wù)器或者流量清洗服務(wù)，或者防火墻設(shè)備。同時，也盡量隱藏服務(wù)器的真實IP。比如使用反向代理隱藏之類的

2：防范非流氓式攻擊：

沒能力，資金少的可以使用安全軟件

有能力的資金少的可以自己運維，寫一些適合自己業(yè)務(wù)的安全小工具也非常不錯的。

有能力又有資金的，可以請安全團隊提供技術(shù)保障。或者請安全團隊做出各種安全方案，配置好各種環(huán)境，然后自己運維。

防范服務(wù)器攻擊，是個長期活。因為你不知道目前正在使用的系統(tǒng)，或者環(huán)境什么時候會突然爆出一個漏洞。

基礎(chǔ)的防范手段有：

賬戶權(quán)限的嚴格管理

安全策略

文件/文件夾等權(quán)限的嚴格分配（特別是寫入和執(zhí)行權(quán)限）

防火墻的配置

軟件的配置（比如apache,iis,nginx,php,ftp服務(wù)端等的安全配置）

漏洞補丁

限制遠程登錄IP（比如，設(shè)為企業(yè)專用線路IP才可以管理）

防止爆破，限制錯誤次數(shù)

弱口令一定要杜絕

備份，安全的備份

....

其他說明：

服務(wù)器的選購也很重要。最好不要圖便宜在某寶買服務(wù)器。當(dāng)然也不一定非要選擇某些大品牌。有的服務(wù)器提供商，做的有內(nèi)網(wǎng)隔離，這個對于防止討厭的內(nèi)網(wǎng)ARP攻擊很不錯！

三：管理者的安全意識

好吧，就算系統(tǒng)沒有漏掉，要是管理設(shè)置個admin,123456之類的弱口令密碼，那也是一個很低端的問題。

當(dāng)然不僅僅局限于這些簡單的密碼，黑客也經(jīng)常使用社會工程學(xué)攻擊手法，收集一切能收集的信息。并且由于近年來的數(shù)據(jù)泄露，比較全的社工庫也是一個秘密武器。

比如管理者的郵箱，手機，姓名，以前泄露過的密碼，電話，企業(yè)名稱，出生年月等等，都很有可能被收集到！然后黑客使用工具進行自動的組合，進行密碼爆破。

還有，針對管理員的個人攻擊，也很考驗安全意識，比如；

1：給管理員發(fā)送一個惡意的郵件。

這個郵件，里面可能是一個釣魚鏈接，也可能里面包含一個惡意附件。甚至就只是個看起來很正常的execl文件。比如利用最近的 Microsoft Office CVE-2017-11882漏洞。

2：以客戶或者其他身份，誘騙管理員點擊某一鏈接。

這個鏈接，有可能就是一個包含CSRF漏洞利用的鏈接~ ，如果管理員沒有安全軟件，瀏覽器也低級，說不定直接種個網(wǎng)馬~~

還有很多，時間有限就不一一說了

四：安全審計

各種日志的記錄，審計也是保障安全的一個很重要的手段。甚至可以第一時間得到預(yù)警，知道有人正在搞攻擊了！同時也可以分析出漏洞的成因，利用方法，更可以作為取證的關(guān)鍵點。

操作系統(tǒng)日志，WEB服務(wù)器日志，數(shù)據(jù)庫日志，這3個都是很重要的監(jiān)控記錄對象。

五：關(guān)于防止脫褲

防止被脫褲，可以給個思路，主要是對數(shù)據(jù)庫的重要字段進行加密儲存。團隊正在計劃開發(fā)一個適合中小企業(yè)的類似于中間件的數(shù)據(jù)庫安全軟件。但還沒有出來，就不細說了。網(wǎng)上也有數(shù)據(jù)庫防火墻可以作為選擇。