CU上一个很经典的讨论回答

今天逛的时候发现的，就此转下：

1、一个网站基本的安全措施有哪些？
答：1)服务器管理权,包括服务器是否容易被被盗，服务器是否能让人随意插拔网线，服务器网关是否可以由别人随意控制
      2)shell权限管理，如何登录服务器管理，必须本地登录，或者可以远程登录，或者通过vpn或者防火墙控制登录。
      3）数据库管理，只允许本地登录，也允许远程登录，是否有ip限制。
     4）网站软件运行的用户是否是root，能否随意读取服务器上的文件
     5）代码中是否有sql注入，xss攻击的可能
     6）OS是否有漏洞或者后门
     7）DNS是否安全
     8）是否有arp攻击
2、一个网站的用户数据库被入侵的方式有哪些？
    1）代码中有sql注入，用户通过在页面上提交拼接的SQL语句读取到用户数据库
    2）代码中有xss攻击代码，黑客通过攻击获取到管理员的管理权从而读取到数据
    3）若是数据库是nosql的话，没有密码认证，直接通过端口访问获取到用户数据
    4）代码中可以获取到web shell权限，进行拖库把数据库文件拷贝出来
    5）连接数据库端口，进行暴力破解数据库帐号

3、作为一个运维和管理人员应该如何防范用户信息被盗问题？
   1）应该禁止外网访问数据库端口
    2）要求程序员审查程序代码，必要时可以用sql注入工具扫描所有代码
    3）严格控制web执行shell命令

 

出处：http://bbs.chinaunix.net/thread-4090829-2-1.html