以下都是我工作中遇到的以及使用过的一些简单实用的针对互联网常见的攻击的 防御措施。
————————————————————不定时更新——————————————————
一.代码方面
- 密码等重要信息加密
- 网络间传输数据进行加密
- 过滤器进行身份验证
- 注册/登录功能需要对访问者的来源合法性进行验证,确保仅合法来源的请求才予以 响应。否则户注册功能可被任意访问和调用,随意创建有效的非法用户。(例子,只允许手机号/邮箱进行注册,查询发请求的ip是否合法)
- 消息服务器:通过某些漏洞,不是好友都能发送消息,需要在服务器端传送的数据加 上user,客户端加上验证user是否是好友/使用者,进而选择是否进行接收/处理指令
- 反编译工具反编译能够查看源码:1.反 反编译 2.敏感信息加密
- 敏感信息一定要加密保护
二.服务器方面(linux系统)
- -修改端口(默认22修改成其他的)
- -登录使用强口令(最好是秘钥登录)
- -开启防火墙,只允许特定范围IP(例如运营平台等只允许公司的ip)
- -防火墙只开启需要的端口,其他端口全部屏蔽
- -对普通用户不给root权限
- -多服务器只开一个外网,其他外网不可访问,通过跳转