一、 MD5加密用户密码
本系统用户密码采用安全性非常高MD5加密算法,它被广泛应用于文件验证,银行密码加密等领域,由于这种加密的不可逆性,在使用10位以上大小写字母加数字组成的随机密码时,几乎没有破解的可能性。
注:建议使用短信验证登录替代用户名密码登录。
二、 COOKIES加密
本系统保存COOKIES时,对保存于COOKIES中的数据采用了以MD5加密为基础,加入随机加密因子的改进型专用加密算法。由于使用的不是标准MD5 加密,因此本系统COOKIES中保存的数据不可能被解密。因此,黑客试图用伪造COOKIES攻击系统变得完全不可能,系统用户资料变得非常安全。
三、 SQL注入防护
系统在防SQL注入方面,设置了四道安全防护:
第一、 系统级SQL防注入检测,系统会遍历检测所有用GET、POST、COOKIES提交到服务器上的数据,如发现有可能用于构造可注入SQL的异常代码,系统将终止程序运行,并记录日志。这一道安全防护加在连接数据库之前,能在连接数据库前挡处几乎所有的SQL注入和危害网站安全的数据提交。
第二、 程序级安全仿SQL注入系统,在应用程序中,在构建SQL查询语句前,系统将对由外部获取数据,并带入组装为SQL的变量进行安全性合法性验证,过滤可能构成注入的字符。
第三、 禁止外部提交表单,系统禁止从本域名之外的其它域名提交表单,防止从外部跳转传输攻击性代码。
第四、数据库操作使用存储过程 系统所有的重要数据操作,均使用存储过程作参数查询,避免组装SQL字符串,令即使通过了层层SQL注入过滤的攻击性字符仍然无法发挥作用。
四、完善的日志管理措施
1.用户登录日志管理和审计
记录用户登录状态,登录时间,登录ip地址,
2.档案访问日志的查询和管理
记录用户在本系统中的操作日志
3.完善的日志查询方法。
可以迅速知道任何用户在本系统中的一切操作动作(查询,下载,浏览),都有记录IP所在地区,操作时间,以便日后备查。
五、 使用https网路协议。
替代 http协议。(ssl加密。可进行加密传输、身份认证)
1)自签名证书
2)需要一个已认证的域名SSL,可在内网的 DNS 服务器上将此域名解析到内网 IP 上即可
六.权限控制
系统设置了严格有效的权限控制系统,和人可以看那个文件,可以操作管理那个目录,都有严格的权限访问控制
七、木马和病毒防护
1.上传文件检测。其中检测内容包括文件大小。类型。扩展名等。不是系统允许的文件禁止上传。
2. 底层的文件类型检测 系统对文件类型作了底层级检测,由于不仅检测扩展名,而是对文件的实际类型进行检测,所以无法通过改扩展名方式逃过安全性验证。
八、识别客户端IP验证
数据用户表,数据用户识别客户端IP验证。
根据客户端IP查询数据库是否存在IP,如果不存在则拒绝访问
注:需要办公地点固定ip地址
九、表单提交内容合法性验证
恶意用户通过输入超长的内容,导致没有对输入长度进行检查的代码造成缓冲区溢出,从而造成安全问题,可能被攻击者用来执行其恶意代码,解决办法:严格验证用户表单输入的数据合法性即可