PHP - 安全性最好的方法是什么？

Question

保护使用 PHP 开发的 Intranet 网站免受外部攻击的最佳方法是什么？

Answer 1

这是一个非常发人深省的问题，令我惊讶的是您没有收到更好的答案。

总结

您将为面向外部的应用程序所做的一切，然后再做一些。

思维过程

如果我的理解正确，那么您是在问一个非常很少有开发人员会问自己的问题。大多数公司的纵深防御都很差，一旦攻击者进入，他就会进入。很明显你想更上一层楼。

那么，我们在考虑什么样的攻击？
如果我是攻击者并且正在攻击您的 Intranet 应用程序，那么我一定能够以某种方式访问​​您的网络。这可能并不像听起来那么困难——我可能会尝试鱼叉式网络钓鱼(将电子邮件发送给您组织中的个人，其中包含恶意软件附件或指向安装恶意软件的站点的链接)以在内部计算机上安装木马。

完成此操作(并控制了内部 PC)后，我将尝试对任何 Internet 应用程序进行的所有相同攻击。

然而，这并不是故事的结局。我有更多选择:如果我有您用户的一台 PC，那么我很可能能够使用键盘记录器来收集用户名和密码，以及查看您所有的电子邮件以获取姓名和电话号码。
有了这些，我也许可以直接登录您的应用程序。我什至可以学习管理员用户名/密码。即使我不这样做，姓名和电话号码的列表以及对公司行话的感觉也让我有机会通过社交工程在贵公司内部获得更广泛的访问权限。

建议

• 首先也是最重要的，在所有技术解决方案之前:对您的用户进行安全培训

保护网络应用程序的常见答案:

• 使用多重身份验证
  • 例如用户名/密码和某种伪随机数小工具。
• 清理所有输入。
  • 防止跨站点脚本和 SQL 注入(inject)。
• 使用 SSL(也称为 HTTPS)。
  • 设置起来很麻烦(编辑:实际上这正在改进)，但它可以提高安全性。
• 遵守“职责分离”和“最小权限”原则
  • 换句话说，通过确保所有用户仅拥有他们完成工作(而不是其他人的工作)所需的权限，您可以确保他们具有绝对最低限度的破坏能力。