网站安全检查表？

Question

我正在构建一个web服务(用于客户端的控制面板)( linux apache上的PHP)，并试图从设计中使它尽可能地安全，

有人能给我提供一些我需要关注的事情的清单吗？

我已经实施了：

1. SQLi保护，
2. 每个会话CSRF令牌，
3. 使用php 5.5 password_hash将密码哈希存储到数据库中(通过need_rehash检查)，
4. 为所有垃圾邮件机器人添加了recaptcha，
5. 用户的会话管理器(查看登录到我帐户的用户，关闭远程会话&如果有人访问了我的帐户，请发出警报)。
   1. SSL证书，在HTTPS上完全通信。(我重定向了所有的http -> https)

问题：

1. 我需要某种自动禁止IP系统吗？
2. 失败的登录IP禁止和登录？
3. 有任何linux服务器安全修改吗？我还没有修改任何东西
4. 我如何保护我的网站免受所有垃圾邮件机器人/蜘蛛？识别和禁止

如果有人能向网站的所有安全点证明一个指南/清单，一个接一个地进行检查/安全检查，这将是有帮助的。

我认为我的服务是安全的，那么最.但很明显，这不会改变这样一个事实，那就是有一些熟练的人聊天可以黑任何东西.-我确实想让它成为一个挑战，如果有人试图扰乱我的系统.我想要一个比其他网站更安全的网站服务。

Answer 1

直接回答你的问题：

我需要某种自动禁止ip系统吗？失败的登录ip禁止和登录？

是的，不要尝试重新发明任何东西，使用fail2ban (只是一个很好的regex表达式，您是受保护的)。

有任何linux服务器安全修改吗？我还没有修改任何东西

我建议selinux有域和其他东西，但是很难。一个好的防火墙、tcpwrappers和更新应该足够了。

我如何保护我的网站免受所有垃圾邮件机器人/蜘蛛？识别和禁止

1. 卡普查作为系统是可以的。
2. 检查推荐人
3. 在提交之前使用javascript。
4. https://stackoverflow.com/questions/677419/how-to-detect-search-engine-bots-with-php

作为清单，我推荐您OWASP前10名(https://www.owasp.org/index.php/Top_10_2013-顶级_10)。如果您需要更多详细信息，请获取OWASP图书：https://www.owasp.org/images/9/9a/OWASP_作弊单_Book.pdf

关于服务器端的安全选项，我还建议：

1. WAF (mod_security + OWASP规则集)在您的web应用程序中是必不可少的。
2. Chroot网络服务器。
3. 隐藏Hide服务器签名
4. 禁用目录列表
5. 使用mod_evasive (对DOS)
6. 关闭服务器端包含和CGI执行，如果您不使用它们。
7. 卸载所有不必要的东西。
8. 强迫自己，不要安装任何来源，这将是更难升级。

祝好运。

Answer 2

一般来说，清单是开始讨论安全问题的好地方。前十名很不错。

但是，如果不知道你在做什么，你想保护什么，以及你想保护谁，就几乎不可能为你设计一个安全系统。例如，银行需要与目标商店不同的安全性。

设计一个完整的安全系统远远超出了这里问题的范围。我的建议是雇佣一个有安全设计经验的人，他可以指导你完成这个过程。如果你一开始就要求核对表，你显然需要更多有经验的帮助。