黑客可以对一个网站做什么，你如何保护我的网站免受这些攻击？

Question

​

虽然我的网站还远未完成，但我已经开始考虑网络安全了。这个网站将是非常公开的，并包含重要的信息，人们认为是真的，我不想被劫持。这将是一个灾难，这个网站被黑客攻击，所以我开始考虑一些方法来保护它，或反击。

所有内容都是通过PHP使用动态html完成的，除了错误消息，错误消息使用PHP cookie触发的javascript弹出警报。有textbox窗体和下拉框，它们都被from实体包围，以防止代码运行。

于是我开始思考，“我的网站的安全有哪些方法可以被破坏，黑客会使用什么武器呢？”

我知道如何用诸如firebug或chrome之类的工具来改变站点的源代码，但这并不重要，因为我使用的是PHP，我更担心每个人都看到了什么。

• --他们可以使用javascript
• --可以将代码提交给表单
• ，他们可以DDoS站点，这会使其崩溃，我不知道有什么防御措施。但我真的不认为我会处理一整组没有脸的互联网megaterrorists.
• They可以更改电子邮件提交表单的html以将我的密码发送给我(他们)，
• 他们可以蛮横地为服务器/ftp强制我的密码，但是我通过在美国键盘上使用所有类型的字符来使用强密码。

那么，有什么方法可以保护我的网站免受黑客攻击呢？黑客选择破坏或利用网站的所有方式(或一般策略和类别)是什么？

防御陷阱清单中的任何东西是一个好主意还是可能的主意？

Answer 1

首先，安全是一个很大的领域，对于这样的问题来说太宽泛了，但是我会尝试解决你提到的一两件事情。

首先，我相信你低估了这些天来应用程序在互联网上受到的一些攻击的独创性和危险性。您提到的项目确实涵盖了一些更常见和众所周知的攻击，但您不能简单地解释如何减少这些攻击，并满足于您的站点将是安全的。如果你希望从你的网站上得到黑客的注意(即使你没有)，你应该从一开始就考虑到安全性。我甚至不打算在这里详细阐述这一说法，因为这是几本书的主题，足以说明你提到的那些项目甚至都没有涉及到那些攻击的数量。

至于所有的“陷阱”，虽然它们很聪明，但我不会费心。大多数关于“秘密安全”的想法都是白费力气--攻击者通常会在陷阱被绊倒之前找到它们，甚至会完全避开它们。充其量，你会抓住他们一次，然后他们只是使用相同的攻击，再次和第二次，他们没有犯同样的错误。所有的困难，编码陷阱，并必须通过烦人的例程登录作为一个合法的用户，没有真正的安全增益。

最后，我认为您应该少关注暴力强制，而应该更多地关注基于利用实际代码、数据库结构、服务器解决方案等漏洞的攻击。当然，实现您的想法，在x次尝试失败后阻止登录一段时间，但实际上，正确的安全解决方案是使用密码，需要花费相当长的时间才能使用暴力，并确保密码不会与任何人共享，或者(禁止)存储在数据库上的纯文本中。

不管怎样，这些只是一些想法。我建议拿出一本关于这一主题的书，因为在这里要解释的范围太广了，而且我不具备这样做的专门知识。