一:網站程序的安全
1:概述
網站開(kāi)發(fā)環節的安全很重要。代碼如果存在漏洞,將(jiāng)導緻網站被(bèi)黑客控制,甚至删除,篡改網站文件,脫褲導緻數據庫洩露,SEO排名下降,系統無法正常運轉,甚至提權到服務器權限,使損失更大。
2:影響
對(duì)于小型展示型企業網站來說,一般會被(bèi)挂黑鏈,搞黑帽SEO,設置挂黑頁什麼(me)的。小型展示型企業一般沒(méi)有核心商業數據,一般遭受的損失一般是臉面(miàn)問題,還(hái)有被(bèi)搜索引擎降權導緻排名下降所引發(fā)的客戶增長(cháng)率下降等。
但是對(duì)于有商業數據的網站來說,網站被(bèi)入侵那是一件很重大的事(shì)情,處理不好(hǎo)甚至可以導緻企業倒閉。
3:防範
要最大化防止網站被(bèi)黑客入侵(隻能(néng)說最大化,安全沒(méi)有百分百),在項目的開(kāi)發(fā)階段,就需要找有實力的開(kāi)發(fā)者進(jìn)行系統構架和代碼編寫。這(zhè)個有實力不僅僅是說代碼的運行效率高,承載量大。而是不但滿足前面(miàn)的條件,還(hái)要對(duì)代碼安全有充分的了解,熟悉各種(zhǒng)主流的攻擊手段,知道(dào)漏洞的形成(chéng)原因,從開(kāi)發(fā)階段就盡量避免漏洞。
現在SQL注入漏洞和上傳漏洞已經(jīng)比較少,但是XSS漏洞等還(hái)是層出不窮。
說到這(zhè)裡(lǐ)不由得想爲我們團隊-》代碼安全團隊( C.S.T)打個廣告,畢竟我們團隊主打的就是“安全開(kāi)發(fā)”,開(kāi)發(fā)者不但擁有黑客技能(néng),同時在開(kāi)發(fā)領域至少有5年以上經(jīng)驗。但是可惜的是現在團隊核心成(chéng)員少,單子有點多不一定忙得過(guò)來。
系統的構架也很重要,如果有一個好(hǎo)的構架,靈活,對(duì)于後(hòu)期做防護等都(dōu)是很有利的。如果說開(kāi)發(fā)階段已經(jīng)完成(chéng),業務已經(jīng)運轉已久,重新開(kāi)發(fā)和設計成(chéng)本就比較大了,那麼(me)我推薦使用以下方法在代碼安全方面(miàn)進(jìn)行加固和防禦:
1:黑盒安全滲透測試
黑盒測試可以找擁有滲透測試經(jīng)驗的人員進(jìn)行授權的安全測試,簡單說就是授權黑客對(duì)網站進(jìn)行一系列的攻擊測試,但不進(jìn)行破壞。看看有沒(méi)有潛在的漏洞,然後(hòu)修補之。這(zhè)類服務比較完善的有好(hǎo)幾家衆測平台,比如漏洞盒子。
2:白盒安全滲透測試
白盒測試因爲涉及到代碼的保密性,一般隻能(néng)由公司内部人員進(jìn)行分析和測試。這(zhè)就需要企業有這(zhè)方面(miàn)的人才了。
3:安全軟件/設備
在WEB安全防禦方面(miàn),使用安全軟件對(duì)于沒(méi)有安全技術人員的企業來說,是一個低成(chéng)本高效率的方式。前端防火牆WAF, 服務器上運行的防護系統,硬件防火牆等一系列設備。
4:其他建議
系統管理地址一定要隐藏好(hǎo)。
最簡單的就是後(hòu)台改名爲一個比較複雜的名字
進(jìn)階點的就是使用二級域名或者其他域名進(jìn)行管理
高級點的就是前台,後(hòu)台,數據庫等都(dōu)分離。後(hòu)台放到另外一個服務器上,使用其他域名,限制訪問IP或者設備等。
二:服務器安全
黑客攻擊也可以分爲“流氓式攻擊”和“非流氓式攻擊”。
額,我所說的流氓式攻擊呢,主要代表就是以DDOS,CC等拒絕服務的攻擊方式。因爲不管你有沒(méi)有漏洞,别人都(dōu)可以“攻擊”,而攻擊的影響程度,來自于攻擊者所掌握的肉雞數量和配置情況。而這(zhè)種(zhǒng)攻擊不涉及到數據洩露等情況,主要是導緻網站打不開(kāi),服務器挂掉。但也不排除這(zhè)是某持續性APT攻擊的某一環節。
非流氓式攻擊呢,比較有技術含量性。主要代表就是利用漏洞,各種(zhǒng)薄弱點,通過(guò)安全經(jīng)驗和技術手段獲取到服務器的權限。
關于防範:
1:防範流氓式攻擊:
防範流氓式攻擊,可以使用抗攻擊服務器或者流量清洗服務,或者防火牆設備。同時,也盡量隐藏服務器的真實IP。比如使用反向(xiàng)代理隐藏之類的
2:防範非流氓式攻擊:
沒(méi)能(néng)力,資金少的可以使用安全軟件
有能(néng)力的資金少的可以自己運維,寫一些适合自己業務的安全小工具也非常不錯的。
有能(néng)力又有資金的,可以請安全團隊提供技術保障。或者請安全團隊做出各種(zhǒng)安全方案,配置好(hǎo)各種(zhǒng)環境,然後(hòu)自己運維。
防範服務器攻擊,是個長(cháng)期活。因爲你不知道(dào)目前正在使用的系統,或者環境什麼(me)時候會突然爆出一個漏洞。
基礎的防範手段有:
賬戶權限的嚴格管理
安全策略
文件/文件夾等權限的嚴格分配(特别是寫入和執行權限)
防火牆的配置
軟件的配置(比如apache,iis,nginx,php,ftp服務端等的安全配置)
漏洞補丁
限制遠程登錄IP(比如,設爲企業專用線路IP才可以管理)
防止爆破,限制錯誤次數
弱口令一定要杜絕
備份,安全的備份
....
其他說明:
服務器的選購也很重要。最好(hǎo)不要圖便宜在某寶買服務器。當然也不一定非要選擇某些大品牌。有的服務器提供商,做的有内網隔離,這(zhè)個對(duì)于防止讨厭的内網ARP攻擊很不錯!
三:管理者的安全意識
好(hǎo)吧,就算系統沒(méi)有漏掉,要是管理設置個admin,123456之類的弱口令密碼,那也是一個很低端的問題。
當然不僅僅局限于這(zhè)些簡單的密碼,黑客也經(jīng)常使用社會工程學(xué)攻擊手法,收集一切能(néng)收集的信息。并且由于近年來的數據洩露,比較全的社工庫也是一個秘密武器。
比如管理者的郵箱,手機,姓名,以前洩露過(guò)的密碼,電話,企業名稱,出生年月等等,都(dōu)很有可能(néng)被(bèi)收集到!然後(hòu)黑客使用工具進(jìn)行自動的組合,進(jìn)行密碼爆破。
還(hái)有,針對(duì)管理員的個人攻擊,也很考驗安全意識,比如;
1:給管理員發(fā)送一個惡意的郵件。
這(zhè)個郵件,裡(lǐ)面(miàn)可能(néng)是一個釣魚鏈接,也可能(néng)裡(lǐ)面(miàn)包含一個惡意附件。甚至就隻是個看起(qǐ)來很正常的execl文件。比如利用最近的 Microsoft Office CVE-2017-11882漏洞。
2:以客戶或者其他身份,誘騙管理員點擊某一鏈接。
這(zhè)個鏈接,有可能(néng)就是一個包含CSRF漏洞利用的鏈接~ ,如果管理員沒(méi)有安全軟件,浏覽器也低級,說不定直接種(zhǒng)個網馬~~
還(hái)有很多,時間有限就不一一說了
四:安全審計
各種(zhǒng)日志的記錄,審計也是保障安全的一個很重要的手段。甚至可以第一時間得到預警,知道(dào)有人正在搞攻擊了!同時也可以分析出漏洞的成(chéng)因,利用方法,更可以作爲取證的關鍵點。
操作系統日志,WEB服務器日志,數據庫日志,這(zhè)3個都(dōu)是很重要的監控記錄對(duì)象。
五:關于防止脫褲
防止被(bèi)脫褲,可以給個思路,主要是對(duì)數據庫的重要字段進(jìn)行加密儲存。團隊正在計劃開(kāi)發(fā)一個适合中小企業的類似于中間件的數據庫安全軟件。但還(hái)沒(méi)有出來,就不細說了。網上也有數據庫防火牆可以作爲選擇。