每天拿出一分钟来学习,你的生命会更加精彩。

10年网页程序员,深入web安全防御【转自花老板】

发布:洪雨2021-12-2 13:10分类: 文案|案例|洪雨论 标签: 项目技巧

抖音上各种小学生,随随便便一个SQL注入就进后台,一个跑密码字典就进后台
做的视频跟侮辱智商似得
更有甚者,某抖音上说,遇到一个顶级hei客,然后用了6分钟通过网页进数据库
简直是把观众智商按在地上摩擦
我来说说,我做网页的一些安全技巧
我就不提漏洞了,系统都有漏洞,100万年都会有。
只不过巨头,大公司走在了时代的前沿,不会那么轻易的把漏洞给你钻进去
正常人做网页既然无法解决漏洞,至少你无法解决没有遇到的漏洞。
那么怎么办
5点个人经验
1:HTML静态缓存+锁文件。
所有文件都是静态的,他不沟通数据库,禁止写入和执行,只有读取权限
(冷知识:JS不是可执行脚本类,他是浏览器执行的,你服务器文件没有执行权限无所谓)
那他注入个卵,,,
2:锁IP机制,后台只能某个IP段进入,除非他拿到你的IP段,且有成功的代理IP。
3:修改数据库增删查改的语句,比如set,up类,你把改成ZZ250,,  SB250
(你的代码正常开发,然后用批替换处理就好了)
4:免费的CDN,,,
5:开源免费的安全拦截,URL拦截,字符过滤
最最最主要的是,以上5点,熟练的半小时就处理完了。
也不是绝对安全,但起码拦截99%的是没问题的
不至于说随便个抖音小白鼠,就拿你开刀

温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!

已有 0/101 人参与

欢迎使用手机扫描访问本站,还可以关注微信哦~