搜索 收起
您的位置  > 互联网

技术面不好说清楚,基本能写成一本书

chanong 发布于 2024-04-26 03:07:07 阅读()

1:网站程序的安全

1 概述

网站开发中的安全性非常重要。 如果代码存在漏洞,网站就会被黑客控制,甚至删除,网站文件被篡改,数据库泄露,SEO排名下降,系统无法正常运行,甚至服务器权限被盗。事态升级,造成更大损失。

2:影响

对于小型展示型企业网站,一般会遭遇黑链接、黑帽SEO、黑页面。 小型显示屏企业一般没有核心业务数据,遭受的损失通常是面子问题,以及被搜索引擎降级导致排名下降导致的客户增长率下降。

但对于有商业数据的网站来说,如果网站被黑了,那就是一件非常严重的事情了。 如果处理不好,甚至会导致公司倒闭。

3:预防

为了最大程度地防止网站被黑客攻击(只能说是最大,安全性不是100%),在项目的开发阶段,需要找到有能力的开发人员进行系统架构和代码写作。 这种实力不仅意味着代码运行效率高、承载能力大。 不仅要满足前面的条件,还要对代码安全有充分的了解,熟悉各种主流的攻击手段,了解漏洞产生的原因,从开发阶段就尽量避免漏洞。

如今,SQL注入漏洞和上传漏洞已经比较少见,但XSS漏洞却依然层出不穷。

说到这里,我忍不住想给我们的团队——代码安全团队(CST)做个广告。 毕竟,我们团队的主要关注点是“安全开发”。 开发人员不仅拥有黑客技术,还拥有至少 5 年的开发领域经验。 但可惜的是,现在团队的核心成员很少,订单数量可能不足以应付。

系统的架构也非常重要。 如果你的架构好,而且灵活,对于后期的防护是非常有利的。 如果开发阶段已经完成并且业务已经运行了很长一段时间,那么重新开发和设计的成本会比较大。 那么我建议使用以下方法来加固和捍卫代码安全:

1:黑盒安全渗透测试

黑盒测试可以让你找到有渗透测试经验的人来进行授权的安全测试。 简单来说,就是授权黑客在不破坏网站的情况下对网站进行一系列的攻击测试。 检查潜在的漏洞并修复它们。 这类服务比较完善的公共测试平台有几个,比如漏洞盒子。

2:白盒安全渗透测试

由于白盒测试涉及代码的保密性,一般只能由公司内部人员进行分析和测试。 这就需要企业拥有这方面的人才。

3:安全软件/设备

在WEB安全防御方面,对于没有安全技术人员的企业来说,使用安全软件是一种低成本、高效的方式。 前端防火墙WAF、服务器上运行的防护系统、硬件防火墙等一系列设备。

4:其他建议

系统管理地址必须隐藏。

最简单的就是将背景名称改为更复杂的名称。

更高级的一点是使用二级域名或者其他域名进行管理。

更高级的就是前端、后端、数据库等分离,后端放在另一台服务器上,使用其他域名,限制IP或设备的访问等。

2:服务器安全

黑客攻击也可以分为“流氓攻击”和“非流氓攻击”。

嗯,我所说的流氓攻击主要包括DDOS、CC等拒绝服务攻击。 因为无论你有没有漏洞,别人都可以“攻击”你,而攻击的影响来自于攻击者控制的肉鸡数量和配置。 这种攻击不涉及数据泄露等,主要造成网站打不开、服务器挂掉。 不过,也不排除这是持续性 APT 攻击的一部分。

非流氓攻击更具技术性。 主要代表是通过安全经验和技术手段,利用漏洞和各种弱点来获取服务器权限。

关于预防:

1:防止流氓攻击:

为了防止流氓攻击,您可以使用防攻击服务器或流量清洗服务或防火墙设备。 同时,尽量隐藏服务器的真实IP。例如使用反向代理隐藏等

2:防止非流氓攻击:

无能力或资金少的可以使用安全软件

有能力、钱少的人可以自己操作和维护。 写一些适合自己业务的安全小工具也是很好的。

如果你有能力和资金,可以要求安全团队提供技术支持。 或者让安全团队制定各种安全方案,配置各种环境,然后自己运维。

防止服务器攻击是一项长期任务。 因为你不知道你现在使用的系统或者环境什么时候会突然出现漏洞。

基本预防措施包括:

严格账户权限管理

安全策略

严格分配文件/文件夹等权限(尤其是写入和执行权限)

防火墙配置

软件配置(如iis、nginx、php、ftp服务器等的安全配置)

漏洞补丁

限制远程登录IP(例如设置为企业专线IP进行管理)

防止爆炸并限制错误数量

必须避免使用弱密码

备份,安全备份

....

其他说明:

服务器的选择也很重要。 最好不要贪便宜去某家商店购买服务器。 当然,不一定要选择一些大品牌。 一些服务器提供商提供内网隔离,这对于防止讨厌的内网 ARP 攻击非常有用!

三:管理者的安全意识

那么,即使系统没有泄露,如果管理层设置了admin这样的弱密码,那仍然是一个非常低端的问题。

当然,不仅仅局限于这些简单的密码。 黑客还经常使用社会工程攻击来收集他们能收集的所有信息。 而由于近年来的数据泄露,相对完善的社会工程库也是一个秘密武器。

例如,经理的电子邮件地址、手机号码、姓名、之前泄露的密码、电话号码、公司名称、出生日期等都有可能被收集! 然后黑客利用工具自动组合密码进行密码爆破。

另外,针对管理员的人身攻击也考验安全意识,比如;

1:向管理员发送恶意邮件。

该电子邮件可能包含网络钓鱼链接或恶意附件。 即使只是一个看起来很普通的 execl 文件。 例如,利用最近的CVE-2017-11882漏洞。

2:以客户或其他身份,欺骗管理员点击某个链接。

这个链接可能是包含CSRF漏洞利用的链接~。 如果管理员没有安全软件,浏览器级别低的话,可能就造个网马吧~~

还有很多,由于时间有限,就不一一赘述了。

四:安全审计

各种日志的记录和审计也是保证安全的一个非常重要的手段。 您甚至可以得到有人正在攻击的预警! 同时还可以分析漏洞产生的原因和利用方法,也可以作为取证的关键点。

操作系统日志、WEB服务器日志、数据库日志都是非常重要的监控和记录对象。

五:关于防止裤子脱掉

为了防止被脱裤子,可以给出一个想法,就是将重要字段加密存储在数据库中。 该团队计划开发一款适合中小企业的类似中间件的数据库安全软件。 但现在还没有出来,所以我就不详细说了。 还可以选择在线使用数据库防火墙。

由于时间原因,仅此而已。 我的博客也会发布一些我自己/团队写的这方面的安全软件和技术文章。 链接不会被发布。 有兴趣的话可以在知乎上给我私信。

标签:
打赏 点赞( )

相关文章