网站目录安全的一些小总结

今天帮朋友处理了一个挂马的问题,除了开发代码的一些必要安全外,程序部署、web目录架构方面还有一些总结。

这里只是说程序部署和web目录架构权限安排方面的,不涉及纯粹代码安全问题,那是另外的一个话题。

1.程序部署上尽量不要对根目录进行操作(比如,建立目录什么的)

2.将引用文件和可直接执行文件分开放置,只对可直接执行文件有运行脚本权限,对于引用文件所在的路径禁止web可读写。

3.只对专门的目录进行写操作,其他一律禁止写操作。

4.无关web可访问的目录都禁止读取。

5.web目录设定时尽量别太懒惰,给予不同站点不同目录分别设置web用户,一个站点只有一个web用户,只对这个web用户进行权限分配。

基本上,如果能确保这些,我想网站起码在文件注入上能够最大的避免出问题。

该日志未加标签

Deepseath Modified from Green Hope Theme · Proudly powered by WordPress · 津ICP备09005418号  津公网安备 12010302001005号