早期的建站確實面臨很多安全風險,像比較有名的SQL注入、XSS,用什么阿D、明小子 之類的軟件輕松提權,然后用灰鴿子一控制,就為所欲為了,但這只能吹牛逼了,現在開發階段用的框架哪個不能把你防的死死的,除非很low 的開發用很古老的技術,那樣的站點被黑了會有什么損失?
如果非要強調安全,我覺得做好以下幾點:
1、來自服務器本身及網絡環境的安全,這包括服務器系統漏洞使用什么軟件可以注入網站,系統權限,網絡環境(如ARP等)、網絡端口管理等,這個是基礎。服務器被入侵一般都是以下幾種情況
一: 漏洞, 又分為服務器環境的漏洞和使用程序的漏洞
二: 弱口令, 服務器賬號或管理員賬號的密碼存在簡單的弱口令, 被黑客猜解出來了, 如果經常看服務器系統日志的朋友可能會知道, 經常會有陌生的ip在掃描服務器指定的端口,比如22端口
三: 權限設置不合理, 如果權限設置不合理的話, 黑客很容易就能通過一個簡單的腳本或幾行代碼就能進行提權,進行破壞。
2、來自WEB服務器應用的安全,IIS或者等,本身的配置、權限等,這個直接影響訪問網站的效率和結果。
3、網站程序的安全使用什么軟件可以注入網站,這可能程序漏洞,程序的權限審核,以及執行的效率,這個是WEB安全中占比例非常高的一部分。
4、WEB 周邊應用的安全,一臺WEB服務器通常不是獨立存在的,可能其它的應用服務器會影響到WEB服務器的安全,如數據庫服務、FTP服務等。這只是大概說了一下,關于WEB應用服務器的安全從來都不是一個獨立存在的問題。