关于我们

这里有79个关于web服务器安全性的提示，可以帮助您提高Web服务器的安全性。Web应用程序的安全性也可以通过一些简单的步骤来提高。是时候帮你分辨那些不安全的通信协议了。

密码安全性

1.使用至少8个字符的密码。

2.使用复杂的密码，包括数字、符号和标点符号。

3.使用各种不同帐户或角色的密码。

4.测试密码保存在安全密码工具中。

5.不要用字典里的单词做密码，比如myblackdog

6.不要重复字符，如3333，abcdabcd序列。

7.不要在密码中使用生日等个人信息。

8.不要将其存储在笔记本电脑、智能手机中或丢失密码。

9.使用密码管理器安全地跟踪您的密码(见我们的最后一遍帖子)。

10.设置双因素身份验证时可用。

1.使用安全的密码生成器。

安全通信

12.使用安全FTP而不是简单FTP。

13.使用SSH而不是telnet。

14.使用安全电子邮件连接(POP3S/IMAPS/SMTPS)

15.确保SSL(HTTPS)适用于网络管理的所有领域。

16.SSL(HTTPS)，一种保护你的网络形式。

17.使用VPN时可用。

18.使用上的所有端点，包括服务器和桌面防火墙。

19.使用住宅/办公室防火墙/IPS系统。

20.加密高度敏感的电子邮件。

21.不要使用公共计算机访问敏感信息。

Web应用程序安全性

22.注册Web应用程序的更新通知。

23.及时更新你的网络应用。

24.使用远程安全工具扫描网络应用程序(如Nessus)。

25.使用Web应用程序防火墙。

26.测试文件上传字段，确保代码无法上传。

27.有一个自定义代码用于检查安全问题。

28.使用具有良好安全历史的编码框架。

29.不要只依赖安全和模糊的目录/文件名。

30.安全的Web应用程序管理域和基于IP的限制。

31.清理用户输入。

32.将敏感文件放在根目录之外或限制访问。

33.使用脚本中的shell命令来规避。

34.不要相信HTTP引用站点域名，因为很容易被伪造。

35.使用POST而不是GET来提交数据。URL中包含如此敏感的信息。

36.验证数据服务器端没有客户端。

37.不要依赖相关的文件和路径名。始终设置基本目录。

38.创建文件时指定权限。

39.将文件上传和创建活动限制到特定目录。

40.中错误敏感信息的安全性而创建的错误消息。

41.小心你从一个cookie中相信的数据；它可以被操纵。

42.包含敏感登录加密的配置文件。

43.DOS限制外来输入长度攻击的应用级防护。

44.如果可能，禁用URL的fopen。

45.如果可能，启用安全模式，包括目录和open base限制。

46.如果可能，禁用危险的PHP函数

47.请注意，web文档根目录中的文件名是*。bak，*。txt或*。公司。

48.小心使用你的文档根目录的版本管理工具。

49.将默认回复设置为Web应用程序，并监控被退回的电子邮件。

50.使用版本控制系统。

51.使用错误跟踪和变更日志系统。

52.服务器安全提示-保护您的Web应用程序。

服务器安全性

53.数小时内的关键更新-定期更新您的操作系统。

54.定期更新您的控制面板。

5.减少信息泄露，比如在Apache中更改ServerTokens。

56.不要安装你不用的软件。

57.不要在生产系统上存储软件的备份或旧版本。

58.用正确的权限限制对目录的访问。

59.确保日志工作正常。

60.请确保您登录的所有管理级别的日期、时间和用户名访问权限。

61.请确保您使用了防火墙。

62.删除MySQL中的默认帐户。

63.禁用直接超级用户登录SSH。

64.获取和清除密码的SSH密钥。

65.禁用未使用的服务。

66.维护备份。

67.测试备份。

68.不要在生产系统开发中做。

69.订阅安全通知服务，随时获取更新。

70.监控异常活动的网络流量。

71.常规远程安全扫描。

72.定期进行本地安全扫描。

73.在Apache中，哈登的默认服务设置了SSH等服务。

74.仅在需要时使用root帐户。

75.使用sudo向其他人授予根级别的访问权限。

76.如果可能，启用SEL inux。

77.使用私有网络内部服务器的流量。

78.适当时使用加密。

79.进行密码审计。