問答專欄Q & A COLUMN
要知道,網(wǎng)站放在公網(wǎng)服務(wù)器上,會被各類人訪問,其中也包含一些黑客,所以網(wǎng)站是時刻面臨著被攻擊的風(fēng)險。
WEB攻擊種類也是相當(dāng)多的,最常見的WEB攻擊方式有以下這些:
SQL注入;
XSS、CSRF攻擊;
應(yīng)用漏洞攻擊,常見的是上傳漏洞、富文本編輯器漏洞;
DDoS攻擊等等。
那我們在開發(fā)及運營階段如何規(guī)避這些攻擊風(fēng)險呢?結(jié)合我多年經(jīng)驗,提供一些方案供大家參考:
1、SQL注入的防御:
對用戶輸入的數(shù)據(jù)務(wù)必做檢查,過濾或轉(zhuǎn)義危險字符,如:單引號、雙引號、SQL關(guān)鍵字等;
SQL語句不要用拼接字符串的方式構(gòu)建,而應(yīng)該使用SQL預(yù)編譯的方式來處理參數(shù)綁定;
2、XSS、CSRF攻擊的防御
不要相信用戶任何的輸入,對用戶輸入的數(shù)據(jù)做過濾或轉(zhuǎn)義,比如過濾掉:JS腳本、CSS樣式;
表單Token;
3、應(yīng)用漏洞防御
嚴(yán)格控制服務(wù)器上各目錄及文件的寫入、執(zhí)行權(quán)限;
需要對上傳文件的格式做限定;
一些富文本編輯器自帶一些管理后臺要刪除掉;
對于CMS類程序,一有漏洞公布時第一時間修復(fù);
4、DDoS攻擊防御
最經(jīng)濟實用的方法就是使用CDN加速,一來加速資源訪問,二來隱藏了源服務(wù)器的IP;
碰到大流量DDoS時聯(lián)系機房做流量清洗,必要時換高防IP。
綜上,對于WEB應(yīng)用而言攻擊種類很多,但是現(xiàn)在不少CDN廠商在CDN基礎(chǔ)上提供了安全監(jiān)測功能,它會監(jiān)測GET請求,對于一些不合法的參數(shù)會給過濾掉,這樣也就減少了不少攻擊。
以上就是我的觀點,對于這個問題大家是怎么看待的呢?歡迎在下方評論區(qū)交流 ~ 我是科技領(lǐng)域創(chuàng)作者,十年互聯(lián)網(wǎng)從業(yè)經(jīng)驗,歡迎關(guān)注我了解更多科技知識!
評論0
加載中...
web攻擊其實就是說網(wǎng)站所遭受的攻擊,包含ddos攻擊 cc攻擊 頁面篡改 SQL注入 WEBshell漏洞等,如果想完整的做防護,防各種攻擊,首先你的先給自己的網(wǎng)站做給體檢,檢查下網(wǎng)站所存在的漏洞,然后修復(fù)它。再去找個云防護產(chǎn)品使用起來。最重要的是云防護產(chǎn)品,如果云防產(chǎn)品給力的話,那就不用擔(dān)心什么攻擊類型了。中小企業(yè)建議使用上海云盾的太極抗D PLUS系列,性價比高,售后服務(wù)到位,關(guān)鍵是接入后可以放心的該干嘛干嘛去了。不用再操心各種類型的攻擊
評論0
加載中...0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答4
回答0
回答
