discuz论坛几种安全策略
来源:互联网 发布:数据解放生产力作者 编辑:程序博客网 时间:2024/06/11 19:30
discuz论坛几种安全策略(一)
安全问题
最近公司准备搭建一个discuz论坛,大头让我调研一下discuz的安全策略,并提出如下几点要求:
1、防止php上传漏洞
2、防止大量刷新攻击
限制某个IP大量刷新某一页面导致论坛宕机
3、防止恶意注册、发帖
限制用户IP大量注册、大量发帖
关键字过滤
针对策略
我调研了相关的资料,针对大头提到的三条问题给出解决方案如下:
对第一条
1)防止上传php代码执行
配置nginx入口上对data|images|config|static|source|template 这几个可以上传的目录里的php文件禁止访问 。
(更安全一点就是列出放行的,其他全部禁止。)
*在nginx要禁止某个或一类资源,只需要增加一个location,然后在其中使用deny all即可。
禁止访问扩展名为bat的文件,配置如下:
location ~* /.bat { deny all;}
禁止访问configs目录,以及其下所有子目录或文件,配置如下:
location ^~ /configs/ { deny all;}
注意上述configs后面的斜杠不能少,否则所有以configs开头的目录或文件都将禁止访问。*
对第二条
1)限制某个IP大量刷新某一页面导致论坛宕机
方案:
在 forum.php(论坛入口) 和 home.php(个人中心入口)分别加载“频率控制程序”。
频率控制程序记录ip的访问频率,将单位时间内达到阈值的ip加入黑名单。
对来源ip在黑名单的请求,退出并返回警告。
对第三条
1)“限制用户IP大量注册”
个人觉得当前没有太大问题:
现在注册流程用的公司统一的帐号中心,注册要绑定手机号验证。这个注册条件基本可以杜绝一个人注册大量用户。
2)“大量发帖”
可以通过论坛自带的“防灌水”设置发帖间隔;
3)关键词过滤
论坛自带“敏感词”过滤功能。
也可以再一些过滤发帖和回复的插件
综上所述,对第一条需要nginx做相应配置,对第三条需要修改论坛的设置,难点在第二条“频率控制程序”的设计和实现上。
“频率控制程序”初步打算使用redis的string类型结构,key为ip,value为频率,具体算法仁者见仁智者见智了。
参照的网址:
http://www.2cto.com/Article/201307/230723.html
- discuz论坛几种安全策略
- discuz论坛几种安全策略(一)
- discuz论坛几种安全策略(二)
- discuz论坛登陆框外部调用的几种方法
- discuz论坛登陆信息外部调用的几种方法
- DISCUZ论坛添加页头及页尾背景图片的几种方法
- 【项目开发】DISCUZ论坛添加页头及页尾背景图片的几种方法
- Discuz 论坛
- Discuz论坛结构
- discuz论坛数据库结构
- discuz 论坛剖析,整合
- 网站整合discuz论坛
- Discuz论坛配置技巧
- discuz论坛搬家
- Discuz论坛注册功能分析
- discuz论坛的安装
- Discuz论坛代码
- discuz论坛框架
- [LeetCode]118 Pascal's Triangle
- 解决android studio 更新后gradle一直refreshing的BUG.
- MINA、Netty、Twisted一起学(十一):SSL-TLS
- C++之内联函数+类内/外定义+构造函数+初始化列表+析构函数
- gcc选项参数详解
- discuz论坛几种安全策略
- Hive常用函数大全(二)(窗口函数、分析函数、增强group)
- 开发中遇到的并发和数据库问题
- PHP CLI模式开发【转+描述】
- SpringMVC常用标签及其功能
- 基于阻塞队列实现消费者和生产者
- 推荐一个好用的网站icon处理网站
- 安装 PL/SQL后,对tnsnames.ora的配置
- 单元测试-JMockit中使用参数化(多参数)测试