整个Web网站,从用户浏览器到后端数据库,要经历很多个环节,各个环节都有可能被黑客有机可乘,所以,要对每一个环节都做好防护。
首先,在代码开发时,要多多注意是否可能存在SQL注入、水平权限漏洞、垂直权限漏洞、XSS漏洞等。尽量避免在应用层被攻击。其次就是那些容易被忽略的环节,如数据库、Web服务器和人。
数据库安全防护
-
IP白名单
-
- 只给需要访问数据库的webserver机器授权IP地址。
-
修改默认端口号
-
- 比如Mysql的默认端口号是3306,建议修改掉。
-
每个业务用独立的用户名密码
-
- 至少保证每个不同的业务使用不同的用户名和密码。这样就算其中的一条业务不幸被攻击,不会轻易殃及别的业务。
-
不使用明文保存密码等重要数据
-
- 对关键隐私数据做脱敏
Web服务器防护
-
隐藏服务器外网IP地址
-
- 如果确实要保留外网IP,可以通过在web服务器前面增加负载均衡等接入层,隐藏web服务器的IP地址。
-
屏蔽Web服务等端口以外的所有端口
-
- 除了80,443等Web服务端口,和个别必须的运维端口,通过防火墙屏蔽其他端口。
-
定期检查更新系统
-
- 发现存在漏洞后及时修复漏洞
对人防护
- 只给指定运维人员开放连接服务器的权限
- 禁止未经公司允许擅自公开公司项目代码
356
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
