安全問題
最近公司准備搭建一個discuz論壇,大頭讓我調研一下discuz的安全策略,並提出如下幾點要求:
1、防止php上傳漏洞
2、防止大量刷新攻擊
限制某個IP大量刷新某一頁面導致論壇宕機
3、防止惡意注冊、發帖
限制用戶IP大量注冊、大量發帖
關鍵字過濾
針對策略
我調研了相關的資料,針對大頭提到的三條問題給出解決方案如下:
對第一條
1)防止上傳php代碼執行
配置nginx入口上對data|images|config|static|source|template 這幾個可以上傳的目錄里的php文件禁止訪問 。
(更安全一點就是列出放行的,其他全部禁止。)
對第二條
1)限制某個IP大量刷新某一頁面導致論壇宕機
方案:
在 forum.php(論壇入口) 和 home.php(個人中心入口)分別加載“頻率控制程序”。
頻率控制程序記錄ip的訪問頻率,將單位時間內達到閾值的ip加入黑名單。
對來源ip在黑名單的請求,退出並返回警告。
對第三條
1)“限制用戶IP大量注冊”
個人覺得當前沒有太大問題:
現在注冊流程用的公司統一的帳號中心,注冊要綁定手機號驗證。這個注冊條件基本可以杜絕一個人注冊大量用戶。
2)“大量發帖”
可以通過論壇自帶的“防灌水”設置發帖間隔;
3)關鍵詞過濾
論壇自帶“敏感詞”過濾功能。
也可以再一些過濾發帖和回復的插件
綜上所述,對第一條需要nginx做相應配置,對第三條需要修改論壇的設置,難點在第二條“頻率控制程序”的設計和實現上。
“頻率控制程序”初步打算使用redis的string類型結構,key為ip,value為頻率,具體算法仁者見仁智者見智了。
參照的網址:
http://www.2cto.com/Article/201307/230723.html