资料下载

7个安全提示,以保护您的网站&黑客的Web服务器

由管理员撰写。发表于 安全文章

4.5 1 1 1 1 1 评分4.50(8投票)
压住他

数码眼最近和 持续的网站安全漏洞大型组织, 联邦政府机构, 银行 和成千上万 全球公司,再次验证了 的重要性 网站和Web应用程序的安全性防止黑客获取敏感数据使公司网站尽可能安全。尽管许多人在谈到时遇到很多问题 网络应用安全;这是一个非常繁琐的工作。

一些安全专家将无法提供所有必要的步骤和预防措施来阻止恶意用户滥用您的Web应用程序。许多Web开发人员在尝试保护其网站时都会遇到某种形式的困难,这是可以理解的,因为Web应用程序安全性是一个多方面的概念,攻击者可以利用该概念来利用 数千种不同的攻击 可能会出现在您的网站上。

虽然没有一个清单 网络安全 提示和技巧可以被认为是完整的(实际上,提示之一是您无法实施的知识,信息和预防措施的数量是永远不够的),以下内容则尽可能地接近您。我们已经列出了六个概念或实践来帮助您保护网站的安全,正如我们已经提到的那样,它绝非易事。这些要点将帮助您入门并朝正确的方向前进,在这些方面,Web应用程序安全性中的某些因素被认为比其他因素具有更高的优先权。

发现您的Web应用程序是否会在短短几分钟内被破坏!免费下载

1.托管选项

虚拟主机没有网络托管服务,大多数网站将不存在。托管Web应用程序的最流行的方法是:定期托管,其中您的Web应用程序托管在专用于您网站的专用服务器上,并且 共享主机,您与其他用户共享Web服务器,而其他用户又将在同一服务器上运行自己的Web应用程序。

使用共享主机有很多好处。通常,此选项比拥有自己的专用服务器便宜,因此通常会吸引更喜欢共享主机空间的小型公司。从功能的角度来看,共享托管和专用托管之间的区别似乎无关紧要,因为该网站仍然可以运行,但是,在讨论安全性时,我们需要从完全不同的角度来看待它。

共享主机的缺点超过了它可能提供的任何优势。由于Web服务器在多个Web应用程序之间共享,因此任何攻击也将在它们之间共享。例如,如果您将网络服务器与发起了攻击的攻击者所针对的组织共享 拒绝服务攻击 在其网站上,您的Web应用程序也将受到影响,因为它使用相同资源池中的资源托管在同一服务器上。同时,由于缺乏对Web服务器本身的完全控制,提供商会做出某些决定,这可能会使您的Web应用程序受到利用的风险。如果托管在共享服务器上的网站之一易受攻击,则可能会利用所有其他网站和Web服务器本身。进一步了解 Web服务器安全.

2.执行代码审查

代码审查检查对Web应用程序的大多数成功攻击是由于代码不安全,而不是底层平台本身。举例来说, SQL注入攻击 即使漏洞本身已经存在了14年以上,它仍然是最常见的攻击类型。由于数据库系统本身不正确的输入处理而不会发生此漏洞,这完全与以下事实有关:开发人员未实施输入清理,这导致未经处理的输入未经任何过滤就被处理。

这种方法仅适用于注入攻击,通常,检查代码不是那么简单。如果您使用的是预构建的应用程序,则更新到最新版本将确保您的Web应用程序不包含不安全的代码,尽管如果使用的是自定义构建的应用程序,则需要开发团队进行深入的代码审查。无论使用哪种应用程序,确保代码安全都是至关重要的一步,否则Web应用程序的基础将存在缺陷,因此很容易受到攻击。

3.保持软件最新

软件更新使用第三方开发的软件时,确保代码安全的最佳方法是应用最新更新。一个简单的Web应用程序将利用许多组件,如果不加补丁,它们会导致成功的攻击。例如,PHP和 的MySQL 在某个时间点容易受到攻击,但随后进行了修补,并且默认的Linux Web服务器安装将包括多个服务,所有这些服务都需要定期更新,以避免利用易受攻击的软件版本。

从中可以看出更新的重要性 惊天动地 利用 是在OpenSSL中发现的,大多数通过HTTPS为其内容提供服务的Web应用程序都使用它。话虽如此,修补这些漏洞是一件容易的事,一旦发布了适当的修补程序,您只需要更新软件即可。对于每个操作系统或服务,此过程都将有所不同,不过,例如,看看它有多么容易,在基于Debian的服务器中更新服务仅需要运行几个命令即可。

4.防范未经授权的入侵

防御入侵尽管更新软件可以确保系统上不存在已知漏洞,但仍可能存在攻击者可以访问我们的先前技巧中未提及的入口点的攻击者。这是防火墙起作用的地方。防火墙是必需的,因为它将限制流量,具体取决于您的配置,并且默认情况下在大多数操作系统上也可以找到防火墙。

话虽如此,防火墙只能分析网络流量,这就是为什么实施防火墙 Web应用防火墙 如果要托管Web应用程序,则必须这样做。 WAF最适合识别正在发送到Web服务器的恶意请求。如果WAF在请求中标识了SQL注入有效负载,它将在到达Web服务器之前删除该请求。同时,如果WAF无法拦截这些请求,您还可以根据需要阻止的请求来设置自定义规则。如果您想知道哪些请求甚至可以在WAF之前阻止,请查看我们的下一个技巧。

5.执行Web漏洞扫描

网络漏洞扫描没有大量的代码审查和更新可以确保最终产品不会受到攻击,也无法被利用。由于未分析执行的代码,因此代码审查受到限制,这就是为什么 网络漏洞扫描 是必不可少的。网络扫描仪会将网络应用程序视为 黑盒子,他们将在其中分析成品,而白盒扫描或代码审查则无法完成。同时,某些扫描仪还将结合网站扫描和可以分析代码的后端代理,为您提供执行灰箱扫描的选项。

免费的Web漏洞扫描程序。现在下载!

如今,Web应用程序既复杂又庞大,在执行手动渗透测试时,很容易错过某些漏洞。 Web漏洞扫描程序将为您自动执行此过程,从而能够在更短的时间内覆盖更大的网站,同时能够检测到最知名的网站 漏洞。一个难以识别的臭名昭著的漏洞是 基于DOM的XSS,尽管网络扫描仪仍然能够识别此类漏洞。 Web漏洞扫描程序还将向您提供需要阻止的请求 Web应用防火墙 (WAF),而您正在努力修复这些漏洞。

6.监测的重要性

应用程序监视警报必须知道您的Web应用程序是否遭受了攻击。 监视Web应用程序托管它的服务器,这是确保即使攻击者越过了防御系统,至少您也将知道其发生方式,时间和地点的最佳方法。在某些情况下,网站可能会因攻击而下线,而所有者甚至不知道该事件,而是会在宝贵的时间过去之后才发现。

为了避免这种情况,您可以 监视服务器日志, 例如 启用通知 在删除或修改文件时触发。这样,如果您尚未修改该特定文件,您将知道其他人对您的服务器具有未授权的访问权限。您还可以监视正常运行时间,这在攻击不像修改文件那样隐秘时(例如,当您的Web服务器受到攻击时)非常有用。 拒绝服务攻击。这些实用程序将在您的网站关闭后立即通知您,而不必从您的网站的用户中发现事件。

实施监视服务时,最糟糕的事情是将它们基于要监视的同一Web服务器上。如果该服务器被关闭,则监视服务将无法通知您。

7.永不停止学习

最后,无论您目前对网络安全性了解多少,都远远不够。永不停止学习改善自己的知识 网络应用程序的安全性 因为从字面上看,每天都会带来一种新的攻击,可能会对您的网站使用。 零日攻击 突发事件的发生是有必要的,这就是为什么必须随时更新自己可以实施的任何新安全措施的原因。您可以从多个位置找到此类信息 网络安全博客 详细说明网站管理员应如何执行其 网站的安全性.

返回“ Web应用程序安全扫描器”部分
返回“安全文章”部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置