一:網(wǎng)站程序的安全
1:概述
網(wǎng)站開發(fā)環(huán)節(jié)的安全很重要。代碼如果存在漏洞,將導(dǎo)致網(wǎng)站被黑客控制,甚至刪除,篡改網(wǎng)站文件,脫褲導(dǎo)致數(shù)據(jù)庫泄露,SEO排名下降,系統(tǒng)無法正常運(yùn)轉(zhuǎn),甚至提權(quán)到服務(wù)器權(quán)限,使損失更大。
2:影響
對于小型展示型企業(yè)網(wǎng)站來說,一般會被掛黑鏈,搞黑帽SEO,設(shè)置掛黑頁什么的。小型展示型企業(yè)一般沒有核心商業(yè)數(shù)據(jù),一般遭受的損失一般是臉面問題,還有被搜索引擎降權(quán)導(dǎo)致排名下降所引發(fā)的客戶增長率下降等。
但是對于有商業(yè)數(shù)據(jù)的網(wǎng)站來說,網(wǎng)站被入侵那是一件很重大的事情,處理不好甚至可以導(dǎo)致企業(yè)倒閉。
3:防范
要最大化防止網(wǎng)站被黑客入侵(只能說最大化,安全沒有百分百),在項(xiàng)目的開發(fā)階段,就需要找有實(shí)力的開發(fā)者進(jìn)行系統(tǒng)構(gòu)架和代碼編寫。這個有實(shí)力不僅僅是說代碼的運(yùn)行效率高,承載量大。而是不但滿足前面的條件,還要對代碼安全有充分的了解,熟悉各種主流的攻擊手段,知道漏洞的形成原因,從開發(fā)階段就盡量避免漏洞。
現(xiàn)在SQL注入漏洞和上傳漏洞已經(jīng)比較少,但是XSS漏洞等還是層出不窮。
說到這里不由得想為我們團(tuán)隊(duì)-》代碼安全團(tuán)隊(duì)( C.S.T)打個廣告,畢竟我們團(tuán)隊(duì)主打的就是“安全開發(fā)”,開發(fā)者不但擁有黑客技能,同時在開發(fā)領(lǐng)域至少有5年以上經(jīng)驗(yàn)。但是可惜的是現(xiàn)在團(tuán)隊(duì)核心成員少,單子有點(diǎn)多不一定忙得過來。
系統(tǒng)的構(gòu)架也很重要,如果有一個好的構(gòu)架,靈活,對于后期做防護(hù)等都是很有利的。如果說開發(fā)階段已經(jīng)完成,業(yè)務(wù)已經(jīng)運(yùn)轉(zhuǎn)已久,重新開發(fā)和設(shè)計(jì)成本就比較大了,那么我推薦使用以下方法在代碼安全方面進(jìn)行加固和防御:
1:黑盒安全滲透測試
黑盒測試可以找擁有滲透測試經(jīng)驗(yàn)的人員進(jìn)行授權(quán)的安全測試,簡單說就是授權(quán)黑客對網(wǎng)站進(jìn)行一系列的攻擊測試,但不進(jìn)行破壞??纯从袥]有潛在的漏洞,然后修補(bǔ)之。這類服務(wù)比較完善的有好幾家眾測平臺,比如漏洞盒子。
2:白盒安全滲透測試
白盒測試因?yàn)樯婕暗酱a的保密性,一般只能由公司內(nèi)部人員進(jìn)行分析和測試。這就需要企業(yè)有這方面的人才了。
3:安全軟件/設(shè)備
在WEB安全防御方面,使用安全軟件對于沒有安全技術(shù)人員的企業(yè)來說,是一個低成本高效率的方式。前端防火墻WAF, 服務(wù)器上運(yùn)行的防護(hù)系統(tǒng),硬件防火墻等一系列設(shè)備。
4:其他建議
系統(tǒng)管理地址一定要隱藏好。
最簡單的就是后臺改名為一個比較復(fù)雜的名字
進(jìn)階點(diǎn)的就是使用二級域名或者其他域名進(jìn)行管理
高級點(diǎn)的就是前臺,后臺,數(shù)據(jù)庫等都分離。后臺放到另外一個服務(wù)器上,使用其他域名,限制訪問IP或者設(shè)備等。
二:服務(wù)器安全
黑客攻擊也可以分為“流氓式攻擊”和“非流氓式攻擊”。
額,我所說的流氓式攻擊呢,主要代表就是以DDOS,CC等拒絕服務(wù)的攻擊方式。因?yàn)椴还苣阌袥]有漏洞,別人都可以“攻擊”,而攻擊的影響程度,來自于攻擊者所掌握的肉雞數(shù)量和配置情況。而這種攻擊不涉及到數(shù)據(jù)泄露等情況,主要是導(dǎo)致網(wǎng)站打不開,服務(wù)器掛掉。但也不排除這是某持續(xù)性APT攻擊的某一環(huán)節(jié)。
非流氓式攻擊呢,比較有技術(shù)含量性。主要代表就是利用漏洞,各種薄弱點(diǎn),通過安全經(jīng)驗(yàn)和技術(shù)手段獲取到服務(wù)器的權(quán)限。
關(guān)于防范:
1:防范流氓式攻擊:
防范流氓式攻擊,可以使用抗攻擊服務(wù)器或者流量清洗服務(wù),或者防火墻設(shè)備。同時,也盡量隱藏服務(wù)器的真實(shí)IP。比如使用反向代理隱藏之類的
2:防范非流氓式攻擊:
沒能力,資金少的可以使用安全軟件
有能力的資金少的可以自己運(yùn)維,寫一些適合自己業(yè)務(wù)的安全小工具也非常不錯的。
有能力又有資金的,可以請安全團(tuán)隊(duì)提供技術(shù)保障?;蛘哒埌踩珗F(tuán)隊(duì)做出各種安全方案,配置好各種環(huán)境,然后自己運(yùn)維。
防范服務(wù)器攻擊,是個長期活。因?yàn)槟悴恢滥壳罢谑褂玫南到y(tǒng),或者環(huán)境什么時候會突然爆出一個漏洞。
基礎(chǔ)的防范手段有:
賬戶權(quán)限的嚴(yán)格管理
安全策略
文件/文件夾等權(quán)限的嚴(yán)格分配(特別是寫入和執(zhí)行權(quán)限)
防火墻的配置
軟件的配置(比如apache,iis,nginx,php,ftp服務(wù)端等的安全配置)
漏洞補(bǔ)丁
限制遠(yuǎn)程登錄IP(比如,設(shè)為企業(yè)專用線路IP才可以管理)
防止爆破,限制錯誤次數(shù)
弱口令一定要杜絕
備份,安全的備份
....
其他說明:
服務(wù)器的選購也很重要。最好不要圖便宜在某寶買服務(wù)器。當(dāng)然也不一定非要選擇某些大品牌。有的服務(wù)器提供商,做的有內(nèi)網(wǎng)隔離,這個對于防止討厭的內(nèi)網(wǎng)ARP攻擊很不錯!
三:管理者的安全意識
好吧,就算系統(tǒng)沒有漏掉,要是管理設(shè)置個admin,123456之類的弱口令密碼,那也是一個很低端的問題。
當(dāng)然不僅僅局限于這些簡單的密碼,黑客也經(jīng)常使用社會工程學(xué)攻擊手法,收集一切能收集的信息。并且由于近年來的數(shù)據(jù)泄露,比較全的社工庫也是一個秘密武器。
比如管理者的郵箱,手機(jī),姓名,以前泄露過的密碼,電話,企業(yè)名稱,出生年月等等,都很有可能被收集到!然后黑客使用工具進(jìn)行自動的組合,進(jìn)行密碼爆破。
還有,針對管理員的個人攻擊,也很考驗(yàn)安全意識,比如;
1:給管理員發(fā)送一個惡意的郵件。
這個郵件,里面可能是一個釣魚鏈接,也可能里面包含一個惡意附件。甚至就只是個看起來很正常的execl文件。比如利用最近的 Microsoft Office CVE-2017-11882漏洞。
2:以客戶或者其他身份,誘騙管理員點(diǎn)擊某一鏈接。
這個鏈接,有可能就是一個包含CSRF漏洞利用的鏈接~ ,如果管理員沒有安全軟件,瀏覽器也低級,說不定直接種個網(wǎng)馬~~
還有很多,時間有限就不一一說了
四:安全審計(jì)
各種日志的記錄,審計(jì)也是保障安全的一個很重要的手段。甚至可以第一時間得到預(yù)警,知道有人正在搞攻擊了!同時也可以分析出漏洞的成因,利用方法,更可以作為取證的關(guān)鍵點(diǎn)。
操作系統(tǒng)日志,WEB服務(wù)器日志,數(shù)據(jù)庫日志,這3個都是很重要的監(jiān)控記錄對象。
五:關(guān)于防止脫褲
防止被脫褲,可以給個思路,主要是對數(shù)據(jù)庫的重要字段進(jìn)行加密儲存。團(tuán)隊(duì)正在計(jì)劃開發(fā)一個適合中小企業(yè)的類似于中間件的數(shù)據(jù)庫安全軟件。但還沒有出來,就不細(xì)說了。網(wǎng)上也有數(shù)據(jù)庫防火墻可以作為選擇。