运维和开发防攻击安全总结

冷不防 2022-03-02 14:39 252阅读 0赞

# 1、openssh漏洞 #

CentOS默认的openssh的版本都有严重漏洞，必须升级到最新版。

# 2、HOST头攻击漏洞 #

nginx的location段中使用下面的配置

proxy\_set\_header                Host  www.test.com;     // 使用域名或者ip，不能用Host $host;

也可以对nginx的server段再加上 对 $host 变量的判断，如：

if ( $host != 'www.test.com') \{  
    return 403;  
\}

# 3、X-Frame-Options未配置，可能导致点击劫持 #

nginx的location段中使用下面的配置

add\_header X-Frame-Options SAMEORIGIN;

# 4、Cookie安全配置 #

nginx的Server和location段添加：

add\_header Set-Cookie HttpOnly;  
add\_header Set-Cookie Secure;

# 5、用户名或密码信息泄露 #

a) 数据加密：提交前用js对用户名、密码加密

b) 传输加密：使用https协议

# 6、文件上传漏洞（白名单） #

启用文件类型白名单，只有符合白名单中的文件类型的文件能上传到服务器，并随机重命名文件名

# 7、敏感信息泄露 #

a) 报错页面泄露信息，可能会暴露服务器名、后台框架、数据库结构等敏感信息，导致遭受有针对性的攻击，如针对struts的攻击

b) 多余的无用文件导致信息泄露，如系统中存在一个无用的test.html链接，引起页面报错，导致泄露信息

# 8、限制访问服务器的用户权限 #

a) 不允许root用户直接远程访问服务器

b) 不允许应用程序直接配置数据库的root用户访问数据库

c) 配置阿里云安全组，只允许某些ip可以远程访问到服务器

d) 及时关闭离职人员的所有账号

# 9、SQL注入攻击、XSS攻击 #

使用java的拦截器，如AntiSqlInjectionInterceptor，对sql关键字和xss攻击的关键字进行消毒过滤，数据库中可以配置对sql和xss需要过滤的关键字

程序需要对被攻击的属性进行可配置，以增强系统的安全。

# 10、DDOS攻击 #

阿里云服务器可以配置禁止访问服务器的ip或ip段，nginx也可以配置黑名单和白名单

# 11、短信轰炸 #

发短信都是通过接口实现的，如果接口被其他人获取则可能被人用于乱发短信或者执行短信轰炸。解决办法：

1、短信接口中添加token验证，每次发送短信都需要先获取端口，token用过之后即失效

2、限制手机号在一定时间内能发送短信的数量，如1分钟内只能发送1条短信，10分钟内只能发送5条短信

# 12、对应用系统的最大并发会话连接数进行限制 #

在server.xml中配置 maxConnections="100"，例如  
<Connector port="8080" protocol="HTTP/1.1" maxConnections="100"  
connectionTimeout="20000" URIEncoding="UTF-8" maxPostSize="100000000"  
redirectPort="8443" />

# 13、隐藏tomcat的版本 #

由于程序异常等原因，错误页面可能会暴露tomcat的版本，由于相应的版本存在漏洞可能导致被攻击。解决办法：

1、找到jar包 $TOMCAT\_HOME/lib/catalina.jar

2、编辑jar包里的文件  \\org\\apache\\catalina\\util\\ServerInfo.properties

server.info=My Server  
server.number=0.0.0.0  
server.built=hello

# 14、隐藏nginx的版本 #

由于服务异常等原因，错误页面可能会暴露nginx的版本，由于相应的版本存在漏洞可能导致被攻击。解决办法：

在nginx配置文件的http段加入 server\_tokens off;

如果需要隐藏服务器的名称，则需要重新编译Nginx，可参考 [https://blog.csdn.net/yuanzhenwei521/article/details/78819482][https_blog.csdn.net_yuanzhenwei521_article_details_78819482]

本文内容到此结束，更多内容可关注公众号

![20190823232633133.jpg][]

[https_blog.csdn.net_yuanzhenwei521_article_details_78819482]: https://blog.csdn.net/yuanzhenwei521/article/details/78819482
[20190823232633133.jpg]: https://img-blog.csdnimg.cn/20190823232633133.jpg

发表评论取消回复

表情：

评论列表（有 0 条评论，252人围观）

还没有评论，来说两句吧...

相关阅读

相关织梦cms防黑客攻击安全设置方法

织梦是目前国内最主流的cms，因为用的人多，安全问题时常有发生，作为网站管理者的我们除了要及时更新官方不定外，自己也要做好防范工作，有一下几点： ![898eb6928715

本是古典何须时尚/ 2024年03月22日 16:29/ 0 赞/ 89 阅读

相关防注入攻击

1、可以注入攻击的登录 package pers.jdbc.log; import java.sql.Connection; import

向右看齐/ 2023年08月17日 16:09/ 0 赞/ 134 阅读

相关 App后台开发运维和架构实践学习总结（13）——OAuth 2.0 概述流程理解

一、应用场景为了理解OAuth的适用场合，让我举一个假设的例子。有一个"云冲印"的网站，可以将用户储存在Google的照片，冲印出来。用户为了使用该服务，必须让"云冲印

悠悠/ 2023年07月10日 15:39/ 0 赞/ 1 阅读

相关突破运维和开发瓶颈、Python、k8s、DevOps转型一网打尽！

python运维和开发实战-高级篇 python运维和开发实战-高级篇课程链接如下：通过如下链接地址购买课程可享受2.5折优惠哈，时间有限~????

曾经终败给现在/ 2022年11月29日 11:37/ 0 赞/ 198 阅读

相关 python运维和开发实战-安装和创建Django项目

微信公众号搜索 DevOps和k8s全栈技术，即可关注公众号，也可扫描文章最后的二维码关注公众号，每天会分享技术文章供大家阅读参考哈~ Django简介 D

﹏ヽ暗。殇╰゛Y/ 2022年11月27日 10:24/ 0 赞/ 135 阅读

相关 python运维和开发实战-高级篇

python运维和开发实战-高级篇 python运维和开发实战-高级篇课程链接如下：通过如下链接地址购买课程可享受2.5折优惠哈，时间有限~????

系统管理员/ 2022年11月27日 06:58/ 0 赞/ 203 阅读

相关运维和开发慌了，Redis突然 "慢" 了，到底谁背锅？

前言众所周知Redis是单线程，有着极快的响应速度，但是有一天Redis突然变"慢"了，运维甚至开发都慌了，开始一系列的骚操作了，但是一点效果都没有，why？遇到问

「爱情、让人受尽委屈。」/ 2022年10月28日 15:19/ 0 赞/ 165 阅读

相关 iptables防DDOS攻击和CC攻击设置

防范DDOS攻击脚本 \防止SYN攻击轻量级预防 iptables -N syn-flood iptables -A INPUT -p tcp --syn -j s

系统管理员/ 2022年06月10日 03:37/ 0 赞/ 286 阅读

相关运维和开发防攻击安全总结

1、openssh漏洞 CentOS默认的openssh的版本都有严重漏洞，必须升级到最新版。 2、HOST头攻击漏洞 nginx的location段中使用下面的

冷不防/ 2022年03月02日 14:39/ 0 赞/ 253 阅读

相关 TP5防sql注入、防xss攻击

框架默认没有设置任何过滤规则可以配置文件中设置全局的过滤规则 `config.php` 配置选项 `default_filter` 添加以下代码即可 //

朱雀/ 2022年01月16日 13:53/ 0 赞/ 474 阅读