要知道,网站放在公网服务器上,会被各类人访问,其中也包含一些黑客,所以网站是时刻面临着被攻击的风险。
WEB攻击种类也是相当多的,最常见的WEB攻击方式有以下这些:
SQL注入;
XSS、CSRF攻击;
应用漏洞攻击,常见的是上传漏洞、富文本编辑器漏洞;
DDoS攻击等等。
那我们在开发及运营阶段如何规避这些攻击风险呢?结合我多年经验,提供一些方案供大家参考:
1、SQL注入的防御:
对用户输入的数据务必做检查,过滤或转义危险字符,如:单引号、双引号、SQL关键字等;
SQL语句不要用拼接字符串的方式构建,而应该使用SQL预编译的方式来处理参数绑定;
2、XSS、CSRF攻击的防御
不要相信用户任何的输入,对用户输入的数据做过滤或转义,比如过滤掉:JS脚本、CSS样式;
表单Token;
3、应用漏洞防御
严格控制服务器上各目录及文件的写入、执行权限;
需要对上传文件的格式做限定;
一些富文本编辑器自带一些管理后台要删除掉;
对于CMS类程序,一有漏洞公布时第一时间修复;
4、DDoS攻击防御
最经济实用的方法就是使用CDN加速,一来加速资源访问,二来隐藏了源服务器的IP;
碰到大流量DDoS时联系机房做流量清洗,必要时换高防IP。
综上,对于WEB应用而言攻击种类很多,但是现在不少CDN厂商在CDN基础上提供了安全监测功能,它会监测GET请求,对于一些不合法的参数会给过滤掉,这样也就减少了不少攻击。
以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!
