一:網站程序的安全
1:概述
網站開發環節的安全很重要。代碼如果存在漏洞,將導致網站被黑客控制,甚至刪除,篡改網站文件,脫褲導致數據庫泄露,SEO排名下降,系統無法正常運轉,甚至提權到服務器權限,使損失更大。
2:影響
對于小型展示型企業網站來說,一般會被掛黑鏈,搞黑帽SEO,設置掛黑頁什么的。小型展示型企業一般沒有核心商業數據,一般遭受的損失一般是臉面問題,還有被搜索引擎降權導致排名下降所引發的客戶增長率下降等。
但是對于有商業數據的網站來說,網站被入侵那是一件很重大的事情,處理不好甚至可以導致企業倒閉。
3:防范
要最大化防止網站被黑客入侵(只能說最大化,安全沒有百分百),在項目的開發階段,就需要找有實力的開發者進行系統構架和代碼編寫。這個有實力不僅僅是說代碼的運行效率高,承載量大。而是不但滿足前面的條件,還要對代碼安全有充分的了解,熟悉各種主流的攻擊手段,知道漏洞的形成原因,從開發階段就盡量避免漏洞。
現在SQL注入漏洞和上傳漏洞已經比較少,但是XSS漏洞等還是層出不窮。
說到這里不由得想為我們團隊-》代碼安全團隊( C.S.T)打個廣告,畢竟我們團隊主打的就是“安全開發”,開發者不但擁有黑客技能,同時在開發領域至少有5年以上經驗。但是可惜的是現在團隊核心成員少,單子有點多不一定忙得過來。
系統的構架也很重要,如果有一個好的構架,靈活,對于后期做防護等都是很有利的。如果說開發階段已經完成,業務已經運轉已久,重新開發和設計成本就比較大了,那么我推薦使用以下方法在代碼安全方面進行加固和防御:
1:黑盒安全滲透測試
黑盒測試可以找擁有滲透測試經驗的人員進行授權的安全測試,簡單說就是授權黑客對網站進行一系列的攻擊測試,但不進行破壞。看看有沒有潛在的漏洞,然后修補之。這類服務比較完善的有好幾家眾測平臺,比如漏洞盒子。
2:白盒安全滲透測試
白盒測試因為涉及到代碼的保密性,一般只能由公司內部人員進行分析和測試。這就需要企業有這方面的人才了。
3:安全軟件/設備
在WEB安全防御方面,使用安全軟件對于沒有安全技術人員的企業來說,是一個低成本高效率的方式。前端防火墻WAF, 服務器上運行的防護系統,硬件防火墻等一系列設備。
4:其他建議
系統管理地址一定要隱藏好。
最簡單的就是后臺改名為一個比較復雜的名字
進階點的就是使用二級域名或者其他域名進行管理
高級點的就是前臺,后臺,數據庫等都分離。后臺放到另外一個服務器上,使用其他域名,限制訪問IP或者設備等。
二:服務器安全
黑客攻擊也可以分為“流氓式攻擊”和“非流氓式攻擊”。
額,我所說的流氓式攻擊呢,主要代表就是以DDOS,CC等拒絕服務的攻擊方式。因為不管你有沒有漏洞,別人都可以“攻擊”,而攻擊的影響程度,來自于攻擊者所掌握的肉雞數量和配置情況。而這種攻擊不涉及到數據泄露等情況,主要是導致網站打不開,服務器掛掉。但也不排除這是某持續性APT攻擊的某一環節。
非流氓式攻擊呢,比較有技術含量性。主要代表就是利用漏洞,各種薄弱點,通過安全經驗和技術手段獲取到服務器的權限。
關于防范:
1:防范流氓式攻擊:
防范流氓式攻擊,可以使用抗攻擊服務器或者流量清洗服務,或者防火墻設備。同時,也盡量隱藏服務器的真實IP。比如使用反向代理隱藏之類的
2:防范非流氓式攻擊:
沒能力,資金少的可以使用安全軟件
有能力的資金少的可以自己運維,寫一些適合自己業務的安全小工具也非常不錯的。
有能力又有資金的,可以請安全團隊提供技術保障?;蛘哒埌踩珗F隊做出各種安全方案,配置好各種環境,然后自己運維。
防范服務器攻擊,是個長期活。因為你不知道目前正在使用的系統,或者環境什么時候會突然爆出一個漏洞。
基礎的防范手段有:
賬戶權限的嚴格管理
安全策略
文件/文件夾等權限的嚴格分配(特別是寫入和執行權限)
防火墻的配置
軟件的配置(比如apache,iis,nginx,php,ftp服務端等的安全配置)
漏洞補丁
限制遠程登錄IP(比如,設為企業專用線路IP才可以管理)
防止爆破,限制錯誤次數
弱口令一定要杜絕
備份,安全的備份
....
其他說明:
服務器的選購也很重要。最好不要圖便宜在某寶買服務器。當然也不一定非要選擇某些大品牌。有的服務器提供商,做的有內網隔離,這個對于防止討厭的內網ARP攻擊很不錯!
三:管理者的安全意識
好吧,就算系統沒有漏掉,要是管理設置個admin,123456之類的弱口令密碼,那也是一個很低端的問題。
當然不僅僅局限于這些簡單的密碼,黑客也經常使用社會工程學攻擊手法,收集一切能收集的信息。并且由于近年來的數據泄露,比較全的社工庫也是一個秘密武器。
比如管理者的郵箱,手機,姓名,以前泄露過的密碼,電話,企業名稱,出生年月等等,都很有可能被收集到!然后黑客使用工具進行自動的組合,進行密碼爆破。
還有,針對管理員的個人攻擊,也很考驗安全意識,比如;
1:給管理員發送一個惡意的郵件。
這個郵件,里面可能是一個釣魚鏈接,也可能里面包含一個惡意附件。甚至就只是個看起來很正常的execl文件。比如利用最近的 Microsoft Office CVE-2017-11882漏洞。
2:以客戶或者其他身份,誘騙管理員點擊某一鏈接。
這個鏈接,有可能就是一個包含CSRF漏洞利用的鏈接~ ,如果管理員沒有安全軟件,瀏覽器也低級,說不定直接種個網馬~~
還有很多,時間有限就不一一說了
四:安全審計
各種日志的記錄,審計也是保障安全的一個很重要的手段。甚至可以第一時間得到預警,知道有人正在搞攻擊了!同時也可以分析出漏洞的成因,利用方法,更可以作為取證的關鍵點。
操作系統日志,WEB服務器日志,數據庫日志,這3個都是很重要的監控記錄對象。
五:關于防止脫褲
防止被脫褲,可以給個思路,主要是對數據庫的重要字段進行加密儲存。團隊正在計劃開發一個適合中小企業的類似于中間件的數據庫安全軟件。但還沒有出來,就不細說了。網上也有數據庫防火墻可以作為選擇。