程序设计规范：

• 【推荐】上传的文件直接保存到文件存储服务（如阿里云 OSS），这样即使被上传了后门 shell，对网站服务器也不会有影响。

• 否则必须通过文件头来确定文件类型，检查文件十六进制的文件头和文件尾是否合法，并检查文件流中是否包含 php、evel 等字符。

• 不可直接使用客户端文件名来保存文件，特别是后缀名/扩展名。应生成随机文件名，并通过检验文件头来确定文件类型。必须由程序指定保存目录。

• 使用 OSS 的应直接上传，不要在 ECS 上临时存放或备份。如必须存放的，应按上述规范操作。

服务器安全设置

CentOS + nginx + PHP：

• 全站文件取消属性中的“执行”权限（chmod），因为这个“执行”与运行 PHP 无关。而需要上传文件的“目录”需要“执行”权限，原因是需要往该目录创建文件。
  

• 仅需要写入的目录或文件设置“写入”权限。如上传图片目录、ThinkPHP 的 Runtime 目录。

• 凡可写目录或文件均不允许运行 PHP / PY 等 除需要被直接访问的 PHP / PY 文件，其它动态文件均不允许被访问到，在 nginx 的配置文件中添加项，参：https://xoyozo.net/Blog/Details/nginx-location-if，若全站使用统一的入口文件访问，那么设置仅该文件允许运行 PHP 即可。通过 IO 方式被其它文件包含的文件，无需运行 PHP 权限。（“deny all”对 include 起作用，但对 IO 不起作用，因此 Runtime 目录可以继续为 ThinkPHP 提供缓存服务。）这一步非常有用。

• 使用与 nginx 网站用户不同的用户来部署网站文件，如宝塔面板 PHP 使用 www 用户，那么就使用 root 或其它新用户来上传文件，否则将导致全站目录和文件可写。有条件的建议不同网站使用不同的用户，可防止一个网站被入侵后导致其它网站文件或磁盘上的其它文件被泄露的风险（2022年10月2日从宝塔官方社区获悉，宝塔面板暂不支持使用非 www 用户创建并运行网站）。

Windows Server + IIS + ASP.NET：

• 配置每个磁盘的安全属性，拒绝“IIS_IUSRS”这个用户组的所有权限。只要设置驱动器即可，子文件夹和文件会自动继承。若运行 .NET Framework 项目，需要设置 C:\Windows\Microsoft.NET\Framework\v*.*.*****\Temporary ASP.NET Files\ 目录可修改写入权限，.NET Core 项目不需要此设置。

• 为每个网站创建一个新用户，仅隶属于“IIS_IUSRS”。网站根目录安全属性添加该用户，权限选择“读取”。（已测取消“读取与执行”不影响 PHP，“列出文件夹内容”视业务需求开启，建议关闭）。仅需要上传文件的目录或文件设置“修改”、“写入”权限。（修改对应修改文件，写入对应上传文件）

• IIS 网站中设置“物理路径凭据”以及应用程序池的“标识”。

• IIS 中设置写入目录的“处理程序映射”无脚本。

目前找到一种途径可以顺利把 Fireworks 或 Photoshop 的矢量图导出 / 转换为 CorelDRAW 的曲线：

Fireworks 中的路径如果不需要后期改变形状，最好都能够组合路径，以减少图层数，或者新建子层，把它们都拖进去。

1. 在 Fireworks 中，另存为，选择 *.psd 格式
2. 在 Photoshop 中，选中图层或子层，右键，复制 SVG
3. 在桌面上新建一个文本文档，打开，粘贴，保存，关闭
4. 将该文本文档更改后缀名为 .svg（此步可忽略）
5. 将该文档拖到 CorelDRAW 窗口中即可

IIS 中如果直接“停止”网站，那么打开页面时会显示不友好的“该页无法显示”等界面，如果特殊原因要求不能打开所有页面，但必须有一个友好提示“网站维护中”的页面，那么最土的办法是把网站的所有文件移出来，仅上传一个提示正在维护的网页，并保证是默认首页。其实有一个更加简单有效的解决方案：

在 IIS 中单击该网站，打开“URL 重写”，右侧“添加规则”，选择“空白规则”。名称可以是“网站维护中”，请求的 URL 选择“与模式不匹配”，使用“完全匹配”，模式填入我们的提示页面地址，如“maintaining.html”，操作类型“重定向”，重定向 URL 填入刚才那个页面地址，附加查询字符串不需要，类型选择“临时(307)”，点击右侧“应用”。

好了，该网站的任何请求都会引导到 maintaining.html，而不仅仅是首页的跳转。而且不需要移动网站文件，也保障了不会被人利用网站漏洞攻击篡改网站内容。

补充一点，如果你的 maintaining.html 中调用了网站中的图片、脚本、样式表等，那么需要把模式匹配的方式改为“正则表达式”，并填入正确的正则表达式，以保证这些文件都能被正常请求。

知其然，才能使其安——王震

 

常见的攻击手法

SQL 注入

文件上传

弱口令

Nday 攻击

XSS

社会工程学

等等……

 

被黑原因总结

不知道	不及时	不在意
不知道自用系统安全动态	不及时更新系统安全补丁	不在意个人信息安全
不知道常见黑客攻击手段	不及时修复漏洞	不在意用户数据安全
不知道该如何修复	不及时排查被黑系统	不在意各种安全软件提示、提醒
不知道今后该如何防御		不在意细节

 

那些年，醉人的“三字经”

网站渗透娱乐版	针对企业的实战版
进谷歌 找注入 没注入 就旁注 没旁注 用0day 没0day 猜目录 没目录 就嗅探 爆账户 找后台 传小马 放大马 拿权限 挂页面 放暗链 清数据	搞企业 先扫描 默认密 都知道 社工库 找一找 邮箱号 先列好 九头蛇 跑一跑 搞不定 放大招 发邮件 凭伪造 没邮箱 搞网站 二级域 皆可爆 老漏洞 没修好 新漏洞 刷一票 干研发 Git 找 原代码 全都要 CDN 可以跳 防火墙 可以撬 堡垒机 可以绕 云防护 可以秒 是企业 没有哪家搞不了

 

攻击手法统计

Nday攻击：45%

漏洞攻击：35%

其他攻击：15%

0day攻击：5%

 

一些箴言

80%的安全问题都是已知的安全问题，但是能抵御已知安全问题的网站只有20%

弱口令虽然看起来很弱，但是忽视弱口令只会让你的网站变得更弱

没有百分之百的安全，你所做的一切不是为了让自己无坚不摧，只是让自己不再弱不禁风

80%的系统安全问题都是可以通过升级补丁来解决，但是能做到这点的人只有20%

SQL注入存在十几年了，依然是主流攻击手段，可见安全比的不是谁更先进，而是谁更细心

不要得罪你的开发人员，这就跟你吃饭不要得罪服务员一样，你不知道他下一秒会不会在你的菜里吐口水

 

还有一句

永远不要觉得你安装的安全防护软件真的可以保护你的安全

 

服务器安全注意事项

不安装不必要的软件

排查所有系统弱口令

关闭不常用的端口

控制目录权限

不在服务器上下载、打开非官方提供软件

不在服务器上打开他人发来的网页链接

 

如何排查暗链？

利用查看网站的源代码来检查黑链

使用站长工具“网站死链检测”功能来检查黑链

用 FTP 查看网站文件的修改时间来检查黑链

接入 webscan.360.cn 检测

 

后门排查

Windows 下，D 盾、安全狗、主机卫士

Linux 下，Seay 一句话扫描脚本、主机卫士 Linux 版

用 FTP 查看网站文件的修改时间来排查恶意后门

接入 webscan.360.cn 等在线检测

 

安全类书籍推荐

《Web 安全深度剖析》——张炳帅 著

《白帽子讲 Web 安全》——吴瀚清 著

《Web 前端黑客技术揭秘》——钟晨呜（余弦）著

《黑客攻防技术宝典 Web 实战篇》——国外某黑客 著

 

联系方式

官网：www.flsec.com

IIS：

进入 IIS 管理器，
打开“Web 平台安装程序”
在“产品”选项卡中选择“服务器”项
添加“IIS：IP 和域限制”
安装

关闭并重新打开 IIS 管理器
打开“IP 地址和域限制”
右侧“添加拒绝条目”

 

itables：

查看当前规则：

iptables -L

或直接编辑

vim /etc/sysconfig/iptables

添加规则：

封单个IP：

iptables -I INPUT -s 888.888.888.888 -j DROP

封IP段：

iptables -I INPUT -s 888.888.888.0/24 -j DROP

解封：

iptables -D INPUT -s 888.888.888.888 -j DROP

准备：

先把超时时间改成 300 秒，参 http://www.cnblogs.com/jackluo/p/3366612.html

了解一下分表基本原理：http://www.discuz.net/thread-2132691-1-1.html

 

主题分表：
    可以任意创建主题存档表（forum_thread_X）
    使用“主题移动”功能，筛选符合条件的主题，移动到主题存档表
    新发表的主题仍然存于原始表（forum_thread）
    移动到存档表中的主题，会在主题所在的版块下建立一个存档区，通过存档区可浏览存档表中的主题。
    存档表中的主题，只供浏览，不可回复、评分，不能进行管理操作，但可以删除和移动到非存档区。

帖子分表：
    帖子没有存档的概念
    可以任意创建帖子分表（分表时创建新表或选择已存在分表）
    一次分表操作可移动100MB的整数倍数据
    根据主题表中最后回复时间正序排列的主题（first=1）tid 来获取帖子数据的
    并将该主题的所有帖子移到目标表中
    更新主题表中 posttableid 这个字段，来标识帖子的存储表

关闭论坛
关闭论坛监控
关闭数据库自动备份
主题先不分
第一个 100MB 用了 75 分钟，后来发现问题，数据库恢复了一下
然后1G用了1个半小时，估计恢复的时候顺便“优化”了

转移后打开帖子提示“没有找到帖子”，或者优化后打开帖子提示“没有找到帖子”，只要在数据库里“修复”一下就行了。（在Navicat“对象”中选中所有表，右键分析）

“/”应用程序中的服务器错误。

---

未能加载文件或程序集“XXXXXX”或它的某一个依赖项。试图加载格式不正确的程序。

说明: 执行当前 Web 请求期间，出现未经处理的异常。请检查堆栈跟踪信息，以了解有关该错误以及代码中导致错误的出处的详细信息。 

异常详细信息: System.BadImageFormatException: 未能加载文件或程序集“XXXXXX”或它的某一个依赖项。试图加载格式不正确的程序。

源错误: 
 

执行当前 Web 请求期间生成了未经处理的异常。可以使用下面的异常堆栈跟踪信息确定有关异常原因和发生位置的信息。

程序集加载跟踪: 下列信息有助于确定程序集“XXXXXX”未能加载的原因。
 

警告: 程序集绑定日志记录被关闭。 要启用程序集绑定失败日志记录，请将注册表值 [HKLM\Software\Microsoft\Fusion!EnableLog] (DWORD)设置为 1。 注意: 会有一些与程序集绑定失败日志记录关联的性能损失。 要关闭此功能，请移除注册表值 [HKLM\Software\Microsoft\Fusion!EnableLog]。

当使用 Visual Studio 发布网站时，可能会遇到上述黄屏报错，原因之一是引用的 dll 路径不正确，可以用 Release 模式生成一次看看；原因之二是应用程序的位数与服务器的不匹配。

一般来说用“Any CPU”的方式没有问题，但遇到上述报错的百度网友都很轻松地通过修改 IIS 应用程序池的“启用 32 位应用程序”来解决这个问题，原因是他们的服务器是 64 位操作系统。当我这次在 32 位操作系统的服务器上遇到这个问题的时候真的是手足无措了，然后一阵乱配置，偶尔还能成功跑起来，于是仔细对比了发布到服务器上的文件，发现只有 bin 目录下的 dll 文件有区别，而导致这些区别的原因是我在发布时把“Release - Any CPU”换成了“Debug - Any CPU”，所以一时找不到更好的解决办法的朋友不妨也试试这个方法，只是会有一点点担心性能问题。有更好的解决方案的朋友也不要忘了联系我。

在 vs2015 以前的版本中，我们想要在停止调试后继续能够浏览网页，只要在项目右键属性 -> Web -> 调试器，把“启用编辑并继续”前的勾去掉就可以了。但是 vs2015 中没有了这个选项，这一度让我非常困惑。（vs2017 上又有了。2018.8.4 注）

百度无果，后来在还是在 Google 的帮助下找到了解决方案。

微软说，为了整合相关的功能，我们已经把这个选项移到了菜单栏 -> 工具 -> 选项 -> 调试 -> 常规，滚动到最底，但是我试了，没效果呀！

不过 stackoverflow 提供了一种很好的办法：我们先开始调试，在菜单栏中找到“停止调试”按钮所在的工具栏右下角的小三角，点击选择“添加或移除按钮”，“自定义”，“添加命令”，“调试”，“全部分离”，确定，你可以将“全部分离”下移或下移到你喜欢的位置，一般是“停止调试”旁边，当然你也可以干脆把“停止调试”删除掉。

好了，下次启动调试后，点击这个全部分离按钮就可以停止调试而不关闭 IIS Express 继续查看网页啦！

家里用的 6M 小水管，经常遇到打开网页龟速，于是进入 TP-LINK 路由器控制面板，打开流量统计，发现竟然是 iPhone 在偷跑流量。下载速度几乎为 0.00KB/s，但上传速度稳定在 50~80KB/s，属于满负荷上传。

于是问度娘有没有类似网络监控的应用，无果。在 App Store 找各种流量仪，发现都是只管数据流量的，没有监控哪些应用在占用 WiFi。

看看手机状态栏也没有正在使用网络的 Loading 图标，莫非手机中毒了？

双击 Home 键，一个一个地删除后台程序，每次看流量都还在上传。

又是各种百度，终于有了眉目，是不是 iCloud 在 WiFi 下自动备份？

进入 设置 - iCloud - 备份 - iCloud 云备份，确实是“开”的，但明明写清楚了只有在 iPhone 接入电源、锁定且接入无线局域网时，才自动备份数据。

试一下吧，关闭它。继续观察……还在上传。

这倒提醒到我了，是不是在自动备份照片呢？

干脆我就再等等，过了几分钟，路由器上看到上传速度降下来了，于是我拿着手机猛地拍了好多照片，不一会儿，上传速度又噌噌噌往上飙了，看来原因是找到了。

那么我就直接把百度云删了吧，因为我是用它来自动备份照片的。

可是……仍然没什么卵用。

那就只剩你了：iCloud

进入 设置 - iCloud - 照片 - 我的照片流，关闭！

整个世界安静了……

--------------------------------------------------------------------

几天以后，悲剧地发现，还是在上传数据

--------------------------------------------------------------------

几周后，家里换用小米路由器，再没有发现 iPhone 偷偷上传。

（也有可能是我关闭了 设置 - iCloud - 备份 - iCloud 云备份 的缘故。）

--------------------------------------------------------------------

几个月后，我无意间进入 设置 - iCloud - 储存空间 - 管理储存空间 - 此 iPhone，看到列出了备份到 iCloud 上的数据。照片图库没有问题，有新照片一定是增量备份的，但是 QQ 和微信的数据就不一定了，以电脑端的聊天记录为例，QQ 是放在 Msg2.0.db 或 Msg3.0.db 单个文件的，如果手机端也是，而且每次都要把几百 MB 甚至几 GB 的文件备份到 iCloud 上，结果可想而知。

过程很简单，就是手机通过安装了 Fiddler 的电脑代理上网就可以抓包了，具体设置：

打开 Fiddler Web Debugger 菜单栏上的 Tools -Fiddler Options...

切换到 Connections 选项卡

勾选 Allow remote computers to connect 并记住上面的端口号 Fiddler listens on port，默认 8888，OK，关闭并重新开启 Fiddler

在手机上修改已连接的网络配置，手动设置代理为电脑上网的本地 IP，端口号就是上一步的 Fiddler listens on port，好了，手机上的网络请求都可以在 Fiddler 上捕获到了。