2.服务端口
服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统的资源,而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器,可以完全关闭。对于期间要使用的服务器,也应该关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。
3.账号密码
账号、密码保护可以说是服务器系统的第一道防线,目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统,那么前面的防卫措施几乎就失去了作用,所以对服务器系统管理员的账号密码进行管理是保证系统安全的重要措施。
把密码设置得复杂一点,如果您的密码足够复杂,非法分子就需要大量的时间来进行密码尝试,也许密码未破解完成,服务器就已经进入保护模式,不允许登陆。
4.定期备份
为防止不能预料的系统故障或用户不小心的意外操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。同时,应该将修改过的重要系统文件存放在不同的服务器上,以便出现系统崩溃时(通常是硬盘出错),可以及时地将系统恢复到正常状态。
5.安装补丁
不论是Windows还是Linux,任何操作系统都有漏洞,要及时打上补丁避免漏洞被蓄意攻击利用,是服务器安全重要的保证之一。
6.监测日志
通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。
产品安全产品的安全性不管在什么时候都是很重要的事情,因为安全无论对个人,还是对企业来说是重中之重。产品在做好做精的道路上逐步完善,同时安全方面的升级加固也一直在逐步加深。下面就是公司为达到安全加固所做的一些措施。
1.XSS防注入
XSS攻击通常指的是通过利用网页开发时留下的漏洞,以巧妙的方法注入恶意指令代码到网页。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。
解决xss攻击是使用XssFilter拦截来解决,创建一个Filter类在web.xml配置拦截器,只要页面交互就走此XssRequestFilter类。类中会把请求的参数放到过滤方法中过滤掉特殊符号。
2.SQL防注入
通过把SQL命令插入到Web表单,递交、输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,来恶意篡改产品中重要的数据信息,导致信息丢失或受损,使企业受到不可避免的损失。
产品中封装了入参类DataParam,所以在执行SQL入参时都会经过此类,所以在DataParam中封装了过滤方法,如果入参的类型中含有_like,就会把入参格式拼写成"%" value "%"样式,这样生成的SQL就是模糊查询格式。
代码在sqlmap里模糊查询条件中书写格式如下:
1. property中要“字段_like”;
2. sql条件like后面要跟#字段_like#格式。
3.密码复杂化
修改密码功能,在用户登录时判断该用户是否是首次登录,如果是首次登录需要提醒用户修改密码,然后跳到修改密码页面,并在页面添加密码校验功能,判断用户输入密码的强弱度并给出相应提示。
4.防上传攻击
产品上传图片功能,需要指定文件后缀,如下图:
