从被扫描记录看网站安全应该注意的一些细节
1、尽可能地隐藏服务器真实IP,减少攻击目标。例如使用负载均衡、网关等作为门户,由负载均衡或网关转发到后端服务器。
2、服务器必须开放的服务(除HTTP、HTTPS等为公众开放的服务外),尽可能改为其它较大的不常用的端口号,这样攻击者需要扫描到大端口号才发现;或者添加IP白名单。
3、开放的服务需要使用密码的,尽可能地使用复杂密码,以提高暴力破解的时间成本:同时包含数字、大写字母、小写字母和特殊符号,长度至少8位;账号或密码错误时,程序不能给出具体的提示如账号不正确、密码不正确,仅告知账号或密码错误这类模糊提示。
4、尽可能地搜集访问日志,记录可疑的IP或端口并拉入黑名单。
5、服务器只安装需要的运行环境,并尽可能地隐藏所使用的平台和语言。
6、程序中禁止SQL拼接,使用SQL参数化防止SQL注入。程序报异常时,隐藏具体错误。
7、系统中重要的管理入口使用不常用的命名。
8、使用第三方组件时,一定要删除其中的示例文件等。如FCKEditor的上传程序示例文件。
9、不要放置可下载的文件,如将网站文件打包备份,并使用常规命名。
10、禁用HEAD、OPTIONS等不常用的HTTP谓词。