0

我正在为我一直在计划的网站制作自定义 CMS,安全性是一个大问题。

我可能缺乏抵御全面黑客社会工程进入服务器机房的专业知识,但这是我从这里和其他网站编译的内容列表,以防止黑客攻击,如果这里缺少任何内容或如果进一步,请发表评论应采取措施

阶段1

使用 PDO 进行数据库调用和 htaccess 重写 url 以隐藏诸如 index.php?get=variable 现在是 myurl.com/get/variable

并且上述变量通过 PDO 传递,如此处所述

将数据库查询和功能移动到拒绝 HTTP 访问的文件夹中,并将某些管理功能锁定在服务器用户组后面,只有少数人可以访问该用户组。

所有密码都是加密的,永远不会被解密为纯文本,因为我没有理智的理由需要阅读其他人的密码。

基于 X 次尝试和 reCapatcha 的 IP 地址自动锁定导致登录和用户创建停止

第二阶段

这些步骤找到一个家主要是因为我打算有一天分发这个软件并且不想让我脸上有鸡蛋

用户跟踪以防止查找文件和记录入侵尝试

IP 跟踪以防止 XXS 劫持和出于类似原因可能的行为监控

我会想更多,但我的大脑现在跳到需要两阶段面部识别和状态 ID 数据库

4

2 回答 2

5

除非您手头有大量时间和经验丰富的团队,否则您的 CMS 永远无法与 Joomla、Drupal 或 Wordpress 等相提并论。

由于它们已经存在了一段时间,它们已经防风雨,但即便如此,黑客也会发现漏洞。

不是想劝阻你,但如果安全是一个大问题,我会选择一个完善的 CMS。更具体地说,为了简单起见,我会使用 Wordpress。创建自定义主题和创建自定义功能和插件也非常容易。

和上面提到的 PST 一样,不需要重新发明轮子

于 2012-06-14T05:28:27.093 回答
0

我认为令人钦佩的是,你有远大的想法,并希望在你的腰带下取得你已经编码并引以为豪的成就。我想我们都想编写一些真正可靠的代码,我们可以指向并说“我做到了”,并感受到真正的成就感。

我不会告诉你它不能完成,但我非常同意其他评论,即安全性是一个巨大的、巨大的、巨大的话题,而你在这里只触及了表面。您的步骤列表中有一些不错的项目,但是 Web 应用程序的安全性远远超出了身份验证和入侵。从您编写的步骤来看,您似乎了解了应用程序安全的一些基础知识。

话虽如此,一个真正彻底和全面的安全专业人士需要考虑: * 你建议人们在什么版本的 apache 上部署?您推荐的 mod_php 或 mod_fcgid 版本有哪些已知问题?* 你将运行什么版本的 PHP?您是否知道您将编码的解释器版本有任何突出的漏洞?* 您将如何建议人们强化服务器?例如,除了运行 apache 和 mysql 之外,还需要激活哪些其他服务?你会允许SSH到服务器吗?如果 web 服务器和 db 在两台不同的机器上,你如何确保只有 web 服务器可以与 db 服务器通信?

您提到的其他一些事情,例如入侵检测、面部识别等,都是非常复杂的主题,并且有整个公司围绕每个主题领域构建产品。

我的观点是:一个人基本上不可能想到所有可能出现的安全问题,而且——即使你今天想到所有这些——明天有人可能会发现一个安全问题——以前听说过。

所以,雄心勃勃是件好事,但在你不知所措之前知道你正在处理的事情也是件好事。(这也是优秀安全专业人员的另一个特征)。

于 2012-06-14T05:47:14.427 回答