web安全如何系统学习研究

1. 系统,网络层 , 若密码,防火墙配置好,该用认证的时候别只用防火墙去顶,我见过防火墙规则失效,直接被连上了数据库的. root能够登陆仍是若密码的,很少说了, 没撒好讲的你们都知道 应用层. 搞清楚常见的SQL注入,XSS,CSRF. php+mysql的方式sql注入. php链接mysql的三种api（mysql，mysqli，pdo-mysql） 新项目别再使用 mysql_connect 了, 使用PDO,mysqli,参数绑定的方式. mysql_connect的sql查询经过抓包咱们能够看到就是拼接的字符串, 咱们试图本身写过滤函数,而实际上,你就是过滤不干净. 用PDO或mysqli参数绑定方式去和mysql交互,咱们经过抓包能够发现, 一共有2次发送, 一次只发送了sql查询结构,第二次发送的参数,这就是为何参数绑定能够杜绝sql注入的缘由,由于你压根就不能改变语义. php链接mysql请使用 PDO,mysqli !!!!. 实际项目中大部分状况会使用php框架,按照规范好好用ORM吧,框架已经帮你处理了, 不过也有一个地方要注意,就是使用原生语句也要注意本身拼接了一些不安全的外部参数到sql语句中形成攻击. 本身能够用sqlmap测试扫描下. - @理鱼

2. XSS, 重要的cookie 请使用httponly进行保护(虽然有方法也能够读取到httponly,可是也要用,更安全) 好比php当中phpsessionid 配置 php.ini开启httponly. 外部数据,好比表单等请作XSS过滤后入库,页面展现的时候也能够再作一次XSS过滤.左右开弓. 妈妈不再用担忧我被XSS盲打了. 登陆的 session对应的cookie 没用启用httponly 结果被XSS盲打到了. 好比知乎的后台`````` - @理鱼

3. CSRF, 使用token防止跨站伪造提交

有的小白站,企图使用 百度云加速 360网站卫士 安全宝 安全狗什么的保护 本身自己n多的漏洞. 其实准备东西真不科学为何呢. 你本身自己就有漏洞,养几条恶狗(WAF)就能低档么. 能够有绕过的方法的. 本身修复好本身的漏洞,再有恶狗(WAF)看家才是正道呢. - @理鱼

4. DDOS防御方案,

我就简单分红 应用层的攻击,和流量层的攻击, 应用层,除了用三方waf系统外, 能够用nginx tengine 的限速模块来作作. 配合lua模块也能作作. 流量层的,找三方清晰吧.

安全宝 青松抗D 腾讯大禹(前不久咨询过腾讯云, 能够买他们的虚拟机,而后用上他们的大禹系统来作清洗, 而后用他们的虚拟机开nginx反向代理. 咱们实践过只是问了可行) 国内提供ddos防御最给力的 仍是 阿里云 云盾. . 而后更大规模的ddos清洗,能够找 电信运营商级别的 叫作 "云堤" 实际上阿里的大规模攻击清洗是 "云堤" 配合完成的. - @理鱼

5. 「云堤」简历：

中文名：云堤

英文名：DamDDoS

别名：DDoS安全防御产品

籍贯：天朝帝都

出生于：2014年9月

性格：吃苦耐压、平易近人、静如处子、动若脱兔

监护人：中国电信集团公司

电话号码：010-59502316

我以为云堤能作成 便捷的 服务就行了. 让全部人都 不怕 网络黑社会(DDOS) 运营商级别的清洗很牛逼,能够直接把攻击流量扼杀到本城市的摇篮中. - @理鱼

6. 网站后台登陆控制. 你永远都不能控制大家公司的人用各类奇葩的弱密码等, 怎么应对. 限制登陆ip, 使用二次验证. 咱们这里就简单, 后台用手机验证码, 有后台账号的人都绑定手机.

我的没有一个系统完整的学习方法论, 把我遇到的问题,知道的微薄知识口水分享给你们拍砖. - @理鱼

7. 黑客大曝光：Web应用程序安全（原书第3版） http://item.m.jd.com/ware/view.action?wareId=10845129 - platoli