太长了没细看，核心的几个点就是，开发学习对应语言的安全开发 checklist ，服务配置符合安全基线要求，尽可能缩小互联网暴露面这样。

如果能一直坚持下去话没啥太大问题 再就是多关注些新出现的 0day ，及时打补丁。没事看看 IP 请求情况，根据威胁情报 ban 些 IP 下去

作为一个网络安全行业开发人员，有几个看法。 像是 Coraza/ModSecurity 这种开源 WAF ，以及配置的 Coreruleset 这种开源规则，误报率就是完全不可用级别的。我们用这种做旁路分析误报率对我们来说都是辣眼睛的。 Sort3/Suricata 这种核心在于规则，开源的同样也是闹着玩的，甚至安全公司专业人员维护的规则，应对真实攻击也没有多么好用。 Clamav 这种后知后觉的，而且也只能应对落盘的病毒。 都到查找 rootkit 这种级别了，我劝你重装系统。 ARP 攻击这种，是内网攻击方式，现实中我是没见过真实存在的。 我有几个看法： 1. CF 可以用 2. WAF 直接用雷池社区版 3. 暴露端口的开源软件，不能有漏洞，是新版 4. 服务器 ssh 强密码，关 root 登录，权限配置合理，重点是强密码甚至证书登录 5. 搞几个登录几次错误 ban ip 的工具 6. 数据库等非必要业务不要暴露端口 7. 核心数据备份到其他地方 核心是 3,4 搞完这种，个人网站就不太可能被攻破了，攻击基本上都是利用现有漏洞，弱密码机器人爆破的。你业务的漏洞除非被人盯上了，否则就算有漏洞都可能一辈子不暴雷。业务漏洞让 AI 看看代码就可以了。 你说的大部分防御都是幻想的场景，你以为的安全是一堆真实的黑客，对着你的机器一堆死艹。 真实情况是，一堆机器人扫漏洞，扫弱密码，扫不到人家就走了。 你想想的很多场景，就算是一年花几百万找安全大厂安服的，也没有查这个东西的。

ip 发出来看看，让老师傅打一下试试 https://i.imgur.com/agAJ0Rd.png

是给五角大楼开发业务吗 https://i.imgur.com/agAJ0Rd.png

作为一个后端忙这写业务都没时间管安全 唯一能做的就是不要暴露自己在前面套一层 专业的事 让专业人去做

@illl 这个我想过有点相关的，忘了写了。能推荐个众测平台吗？我谷歌中文搜了一下好像都需要企业资质。三四百百元能有比较好的效果吗？找人测试一下我倒是想过，就是做好之后在本站求人渗透一下。我也了解过渗透测试，不过被阿里云的渗透测试的三万元吓到了。不过如果网站有很多人在乎的话，我倒是愿意组织个众筹，买一下渗透测试服务。这个有意义吗？

闲的系列 大部分都没意义 先把 attack surface 列出来 再加对策

“所有密码和密钥每季度换一次” 这个有什么用，只要密码和密钥强度够就行，换得太频繁，搞忘了咋整？