一:网站程序的安全
1:概述
网站开发环节的安全很重要。代码如果存在漏洞,将导致网站被黑客控制,甚至删除,篡改网站文件,脱裤导致数据库泄露,SEO排名下降,系统无法正常运转,甚至提权到服务器权限,使损失更大。
2:影响
对于小型展示型企业网站来说,一般会被挂黑链,搞黑帽SEO,设置挂黑页什么的。小型展示型企业一般没有核心商业数据,一般遭受的损失一般是脸面问题,还有被搜索引擎降权导致排名下降所引发的客户增长率下降等。
但是对于有商业数据的网站来说,网站被入侵那是一件很重大的事情,处理不好甚至可以导致企业倒闭。
3:防范
要最大化防止网站被黑客入侵(只能说最大化,安全没有百分百),在项目的开发阶段,就需要找有实力的开发者进行系统构架和代码编写。这个有实力不仅仅是说代码的运行效率高,承载量大。而是不但满足前面的条件,还要对代码安全有充分的了解,熟悉各种主流的攻击手段,知道漏洞的形成原因,从开发阶段就尽量避免漏洞。
现在SQL注入漏洞和上传漏洞已经比较少,但是XSS漏洞等还是层出不穷。
说到这里不由得想为我们团队-》代码安全团队( C.S.T)打个广告,毕竟我们团队主打的就是“安全开发”,开发者不但拥有黑客技能,同时在开发领域至少有5年以上经验。但是可惜的是现在团队核心成员少,单子有点多不一定忙得过来。
系统的构架也很重要,如果有一个好的构架,灵活,对于后期做防护等都是很有利的。如果说开发阶段已经完成,业务已经运转已久,重新开发和设计成本就比较大了,那么我推荐使用以下方法在代码安全方面进行加固和防御:
1:黑盒安全渗透测试
黑盒测试可以找拥有渗透测试经验的人员进行授权的安全测试,简单说就是授权黑客对网站进行一系列的攻击测试,但不进行破坏。看看有没有潜在的漏洞,然后修补之。这类服务比较完善的有好几家众测平台,比如漏洞盒子。
2:白盒安全渗透测试
白盒测试因为涉及到代码的保密性,一般只能由公司内部人员进行分析和测试。这就需要企业有这方面的人才了。
3:安全软件/设备
在WEB安全防御方面,使用安全软件对于没有安全技术人员的企业来说,是一个低成本高效率的方式。前端防火墙WAF, 服务器上运行的防护系统,硬件防火墙等一系列设备。
4:其他建议
系统管理地址一定要隐藏好。
最简单的就是后台改名为一个比较复杂的名字
进阶点的就是使用二级域名或者其他域名进行管理
高级点的就是前台,后台,数据库等都分离。后台放到另外一个服务器上,使用其他域名,限制访问IP或者设备等。
二:服务器安全
黑客攻击也可以分为“流氓式攻击”和“非流氓式攻击”。
额,我所说的流氓式攻击呢,主要代表就是以DDOS,CC等拒绝服务的攻击方式。因为不管你有没有漏洞,别人都可以“攻击”,而攻击的影响程度,来自于攻击者所掌握的肉鸡数量和配置情况。而这种攻击不涉及到数据泄露等情况,主要是导致网站打不开,服务器挂掉。但也不排除这是某持续性APT攻击的某一环节。
非流氓式攻击呢,比较有技术含量性。主要代表就是利用漏洞,各种薄弱点,通过安全经验和技术手段获取到服务器的权限。
关于防范:
1:防范流氓式攻击:
防范流氓式攻击,可以使用抗攻击服务器或者流量清洗服务,或者防火墙设备。同时,也尽量隐藏服务器的真实IP。比如使用反向代理隐藏之类的
2:防范非流氓式攻击:
没能力,资金少的可以使用安全软件
有能力的资金少的可以自己运维,写一些适合自己业务的安全小工具也非常不错的。
有能力又有资金的,可以请安全团队提供技术保障。或者请安全团队做出各种安全方案,配置好各种环境,然后自己运维。
防范服务器攻击,是个长期活。因为你不知道目前正在使用的系统,或者环境什么时候会突然爆出一个漏洞。
基础的防范手段有:
账户权限的严格管理
安全策略
文件/文件夹等权限的严格分配(特别是写入和执行权限)
防火墙的配置
软件的配置(比如apache,iis,nginx,php,ftp服务端等的安全配置)
漏洞补丁
限制远程登录IP(比如,设为企业专用线路IP才可以管理)
防止爆破,限制错误次数
弱口令一定要杜绝
备份,安全的备份
....
其他说明:
服务器的选购也很重要。最好不要图便宜在某宝买服务器。当然也不一定非要选择某些大品牌。有的服务器提供商,做的有内网隔离,这个对于防止讨厌的内网ARP攻击很不错!
三:管理者的安全意识
好吧,就算系统没有漏掉,要是管理设置个admin,123456之类的弱口令密码,那也是一个很低端的问题。
当然不仅仅局限于这些简单的密码,黑客也经常使用社会工程学攻击手法,收集一切能收集的信息。并且由于近年来的数据泄露,比较全的社工库也是一个秘密武器。
比如管理者的邮箱,手机,姓名,以前泄露过的密码,电话,企业名称,出生年月等等,都很有可能被收集到!然后黑客使用工具进行自动的组合,进行密码爆破。
还有,针对管理员的个人攻击,也很考验安全意识,比如;
1:给管理员发送一个恶意的邮件。
这个邮件,里面可能是一个钓鱼链接,也可能里面包含一个恶意附件。甚至就只是个看起来很正常的execl文件。比如利用最近的 Microsoft Office CVE-2017-11882漏洞。
2:以客户或者其他身份,诱骗管理员点击某一链接。
这个链接,有可能就是一个包含CSRF漏洞利用的链接~ ,如果管理员没有安全软件,浏览器也低级,说不定直接种个网马~~
还有很多,时间有限就不一一说了
四:安全审计
各种日志的记录,审计也是保障安全的一个很重要的手段。甚至可以第一时间得到预警,知道有人正在搞攻击了!同时也可以分析出漏洞的成因,利用方法,更可以作为取证的关键点。
操作系统日志,WEB服务器日志,数据库日志,这3个都是很重要的监控记录对象。
五:关于防止脱裤
防止被脱裤,可以给个思路,主要是对数据库的重要字段进行加密储存。团队正在计划开发一个适合中小企业的类似于中间件的数据库安全软件。但还没有出来,就不细说了。网上也有数据库防火墙可以作为选择。