虽然我的网站还远没有完成,但我已经开始考虑网络安全了。这个网站将非常公开,并包含人们认为是真实的重要信息,我不想被劫持。这个网站遭到黑客攻击是一场灾难,所以我开始想办法保护它,或者反击。
除了使用由PHP cookie触发的javascript弹出警报的错误消息外,所有内容都是通过PHP使用动态html创建的。有文本框形式和下拉框,所有形式都包含htmlentities以防止代码被运行。
所以我开始思考,“我的网站的安全性可以被破坏的方式是什么,黑客使用哪种武器?”
我知道如何使用firebug或chrome之类的工具更改网站的源代码,但这并不重要,因为我使用PHP,而且我更担心的是每个人都看到了什么。
他们可以使用javascript注入
他们可以提交代码来执行表格
他们可以对网站进行DDoS攻击,这会使网站崩溃并且我不知道任何防御措施。但我真的不认为我会与一群没有面子的互联网巨头恐怖分子打交道。
他们可以更改电子邮件提交表单的html,以便将密码发送给我(他们)。
他们可以强制我的服务器/ ftp的密码,但我使用美国键盘上所有类型的字符使用强密码。
那么我可以通过什么方式保护自己的网站免受黑客入侵?黑客选择破坏或利用网站的所有方式(或一般策略和类别)是什么?
防御陷阱列表中的任何内容都是好的或可能的想法吗?
答案 0 :(得分:0)
首先,安全是一个巨大的领域,对于SO问题而言过于宽泛,但我会尝试解决你提到的一两件事。
首先,我认为你低估了应用程序在互联网上暴露的一些攻击的独创性和危险性。你提到的项目确实涵盖了一些比较常见和众所周知的攻击,但你不能简单地解释你是如何减轻这些攻击的,并对你的网站安全感到满意。如果您希望黑客在您的网站上受到关注(即使您没有),您应该从一开始就考虑安全性。我甚至不打算在这里详细讨论这个陈述,因为它是几本书的主题,足以说你提到的项目甚至没有开始涵盖任何类似于那里的攻击数量的东西
对于所有'陷阱',虽然聪明,但我不会打扰。 “隐匿性安全”理念的大多数变化通常都是浪费精力 - 攻击者通常会有机会在陷阱被发现之前找到陷阱,甚至完全避开陷阱。充其量,你会抓住他们一次,然后他们只是使用相同的攻击再次进入,第二次他们没有犯同样的错误。编写陷阱的所有困难,并且必须通过烦人的例程以合法用户身份登录才能获得安全性。
最后,我认为您应该更少关注暴力破解,更多关注基于利用实际代码,数据库结构,服务器解决方案等漏洞的攻击。当然,实现阻止登录一段时间的想法x尝试失败后,实际上这里正确的安全解决方案是拥有密码,这些密码需要花费很长时间来暴力破解并确保它们不会与任何人共享,或者(天堂禁止)以纯文本形式存储在数据库中。
无论如何,这只是一些想法。我建议拿一本关于这个主题的书,因为这里的答案范围很广,但我无论如何也没有专业知识。