网站被恶意攻击的几点思考
今天我的网站被恶意攻击了,总有些人不怀好心想整些事情,对于这些人我们呵呵一下就行了,不必太过计较。我们把自己的网站安全措施做的更好些,以免让某些小人得逞。
第一个是恶意评论,因为我的个人博客评论是开放的,因为没有评论节流措施而导致被疯狂评论。下面是截图,足足评论了七八页近一百条。
第二个是 SQL 注入攻击,从图中可以明显看出其中夹杂了删除 user 表的操作。
个人网站由于安全措施做的不到位很容易被攻击, 今天我遇到的还不算是特别麻烦的攻击, 再次提醒大家多注意网站安全问题!
这也提醒我们在后端设计接口时,尤其那些公开的接口,一定要有限流措施,否则被恶意用户拿到接口疯狂调用,那服务器可能就要蹦掉了。SQL 注入是常见的攻击手段,一般后端开发框架会做处理,拦截一些恶意 SQL,但有些是拦不掉的,比如直接使用字符串拼接的有参 SQL,直接拼接的 SQL 框架不会检查而直接执行!在直接使用 JDBC 执行 SQL 时往往不推荐使用 Statement,而是用 PrepareStatement,这个原因也是在防御 SQL 注入攻击。
关于恶意评论我实在不想看到,我可能要把公开评论关了,评论在我后台设置公开后大家才能看到,大家的评论我会在后台及时回复通过。