工作了几年,遇到的一些新手常遇到的安全问题,记录一下

1.使用负载均衡服务器,把真实服务器的IP隐藏起来,负载均衡只开放80、443端口

2.升级web框架到最新版本,杜绝常见安全漏洞,如sql、xss

3.开发注意,严格对客户端请求参数做验证

-上传漏洞,对上传文件没有做验证,被直接上传shell脚本

-sql注入,对提交参数没有做验证,导致最终执行的sql语句被利用

-一分钱漏洞,没有对用户实际支付金额和原本应支付金额做比对

-消费负数漏洞,消费的数量、提现的数量等为负数,导致消费之后账户余额增加