如何巧妙防御Web攻击?

科技网编2023-03-10 11:492040

要知道,网站放在公网服务器上,会被各类人访问,其中也包含一些黑客,所以网站是时刻面临着被攻击的风险。

WEB攻击种类也是相当多的,最常见的WEB攻击方式有以下这些:

SQL注入;

XSS、CSRF攻击;

应用漏洞攻击,常见的是上传漏洞、富文本编辑器漏洞;

DDoS攻击等等。

那我们在开发及运营阶段如何规避这些攻击风险呢?结合我多年经验,提供一些方案供大家参考:

1、SQL注入的防御:

对用户输入的数据务必做检查,过滤或转义危险字符,如:单引号、双引号、SQL关键字等;

SQL语句不要用拼接字符串的方式构建,而应该使用SQL预编译的方式来处理参数绑定;

2、XSS、CSRF攻击的防御

不要相信用户任何的输入,对用户输入的数据做过滤或转义,比如过滤掉:JS脚本、CSS样式;

表单Token;

3、应用漏洞防御

严格控制服务器上各目录及文件的写入、执行权限;

需要对上传文件的格式做限定;

一些富文本编辑器自带一些管理后台要删除掉;

对于CMS类程序,一有漏洞公布时第一时间修复;

4、DDoS攻击防御

最经济实用的方法就是使用CDN加速,一来加速资源访问,二来隐藏了源服务器的IP;

碰到大流量DDoS时联系机房做流量清洗,必要时换高防IP。

综上,对于WEB应用而言攻击种类很多,但是现在不少CDN厂商在CDN基础上提供了安全监测功能,它会监测GET请求,对于一些不合法的参数会给过滤掉,这样也就减少了不少攻击。

以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!

评论区