يعلمك الخبراء كيفية بناء بيئة خادم آمنة

يبدو أن "اختراق مواقع الويب" و"الاختراق الأولمبي" أصبحا من المواضيع الساخنة في مجال أمن الإنترنت في الآونة الأخيرة، وقد وصل البحث عن مصطلح "الاختراق الأولمبي" على جوجل إلى أكثر من 646 ألف مرة، مما يدل على درجة الاهتمام العالية التي حظي بها. تم الإبلاغ عن أخبار عادية عن تعرض مواقع الويب لهجمات من قبل قراصنة بشكل متكرر في الآونة الأخيرة، وفقًا للبيانات ذات الصلة، في الفترة من يناير إلى مايو من هذا العام، تم غزو أكثر من 30 ألف موقع ويب في جميع أنحاء البلاد من قبل "المتسللين"! ونظرًا للافتقار إلى إمكانات الحماية المهنية، أصبحت المواقع الإلكترونية الحكومية الصغيرة والمتوسطة الحجم ومواقع الشركات أكبر ضحايا عمليات اختراق "القراصنة".

نصيحة 1 من الخبراء في قضايا الوقاية الأمنية لمواقع الويب الصغيرة والمتوسطة الحجم: قم ببناء بيئة خادم آمنة لمنع القفل الأول وفقًا للفني من مكتب Shaanxi Earthquake المسؤول عن صيانة موقع الويب، تعرضت شبكة Shaanxi Earthquake للهجوم من قبل المتسللين. ، و"مظهر موقع الويب" المعروض على الصفحة الرئيسية، ومعلومات "الثغرة الأمنية الرئيسية" هي معلومات خاطئة صادرة عن قراصنة، ومع ذلك، يعمل موقع الويب حاليًا بأمان ولا توجد ثغرات تقنية. بينما ندين "قراصنة الزلازل"، فإننا نفكر أيضًا في سؤال آخر: كيف نضمن التشغيل الآمن لموقعنا على الويب؟ وفيما يتعلق بهذه المسألة، زار المراسل خبراء محليين في مجال الوقاية الأمنية للمواقع الصغيرة والمتوسطة الحجم.

وفقًا للتقارير: بناء بيئة خادم آمنة وبناء السلسلة الأولى من هجمات القراصنة. ومع ذلك، فإن بناء بيئة خادم آمنة لمقاومة هجمات "القراصنة" ينطوي على مجموعة واسعة من الجوانب، ولكن فيما يتعلق بالمواقع الصغيرة والمتوسطة الحجم، فيمكن القيام بذلك من ثلاثة جوانب: (1): المستوى الفني: الاستخدام. جدران الحماية للبرامج والأجهزة وبرامج مكافحة الفيروسات، ونظام مكافحة التلاعب بالصفحة لإنشاء بيئة خادم ويب سليمة من الناحية الهيكلية؛ (2): فيما يتعلق بالخدمات، إجراء تحليل طوبولوجيا الشبكة، وإنشاء نظام إدارة غرفة كمبيوتر مركزي، وإنشاء ترقية منتظمة آلية لأنظمة التشغيل وبرامج مكافحة الفيروسات، ومراقبة سجلات الوصول إلى الخوادم المهمة، ويتم الاحتفاظ بنسخة احتياطية منها، وتستخدم هذه الخدمات لتعزيز مكافحة التدخل في الشبكة (3): فيما يتعلق بالدعم، يتعين على مقدمي الخدمة تقديمها خدمات استكشاف الأخطاء وإصلاحها لتحسين موثوقية الشبكة.

ومع ذلك، تتم استضافة معظم مواقع الويب الصغيرة والمتوسطة الحجم حاليًا في شكل مضيفين افتراضيين لتحسين أمان موقع الويب وتقليل مخاطر هجمات المتسللين، يجب على مسؤولي مواقع الويب تطبيق أحدث التصحيحات على برامج مواقع الويب الخاصة بهم في الوقت المناسب وتعزيزها أثناء ذلك. كن على دراية بالأمن، وانتبه إلى منع ثغرات الحقن، ونقاط الضعف في التحميل، والمشكلات الأخرى، وفي الوقت نفسه، قم باستضافة موقع الويب لدى مزود خدمة يتمتع بقوة تقنية قوية، وعامل أمان عالي، ويمكنه مساعدة العملاء بشكل استباقي على حل المشكلات الأمنية. ضمان سلامة بيئة التشغيل الآمنة للموقع.

نصيحة الخبراء 2: انتبه إلى أمان نظام موقع الويب وقم بنشر قفل ثانٍ لبناء بيئة خادم آمنة، وهذا يمنع فقط هجمات "المتسللين" من الخارج، ولكن الأهم من ذلك، أنه من المهم ضمان أمان الموقع نظام موقع الويب ومنع المتسللين من استغلال ثغرات النظام للهجوم، مما يهدد أمن موقع الويب.

وفقًا لخبراء أمن الشبكات من شركة Dongyi: وفقًا للنتائج الإحصائية لأفضل 10 تصنيفات لنقاط ضعف تطبيقات الويب الصادرة عن منظمة OWASP في عام 2007، فإن مشكلات مثل البرمجة النصية عبر المواقع، وثغرات الحقن، وتزوير الطلبات عبر المواقع، والمعلومات لا يزال التسرب يمثل مشكلة بالنسبة إلى المتسللين الحاليين، وخاصة هجمات حقن SQL وهجمات البرمجة النصية عبر المواقع، والتي تستخدم المبرمجين للفشل في الحكم على شرعية بيانات إدخال المستخدم عند كتابة التعليمات البرمجية، مما يسمح للمتسللين بذلك. إدراج وتنفيذ أوامر SQL الضارة للحصول على إذن لقراءة البيانات وتعديلها، بينما تضيف هجمات البرمجة النصية عبر المواقع تعليمات برمجية ضارة إلى صفحة الويب، وسيتم تنفيذ التعليمات البرمجية الضارة أو عن طريق إرسال رسالة إلى تحث هذه الطريقة المسؤولين على التصفح، وبالتالي الحصول على حقوق المسؤول والتحكم في موقع الويب بأكمله.

فهل هناك أي إجراءات أمنية فعالة لمنع هذا النوع من هجمات القراصنة؟ يُذكر أنه أثناء تطوير نظام إدارة محتوى SiteFactory، تمت صياغة خطط دفاعية كاملة مناسبة لأساليب الهجوم المختلفة، وبمساعدة خصائص ووظائف ASP.NET، يمكنها مقاومة هجمات المستخدمين الضارين بشكل فعال. موقع الويب وتحسين أمان موقع الويب، ولكن بالنسبة لهجمات حقن SQL الحالية وهجمات البرمجة النصية عبر المواقع، ما هي الوسائل الأكثر فعالية لمنعها؟ ولتحقيق هذه الغاية، قمنا بسؤال خبراء أمن الشبكات في Dongyi، الذين قدموا لنا بعض أساليب الأمان:

(1) بالنسبة لهجمات حقن SQL: يقوم نظام Dongyi بتصفية معلمات الاستعلام في عبارات استعلام SQL؛ ويستخدم طرق استعلام معلمات SQL الآمنة من النوع لحل مشكلة حقن SQL بشكل أساسي من حيث نوع معلمة URL والكمية ووظائف تقييد النطاق، وحل المشكلة الهجمات الضارة التي يقوم بها مستخدمون ضارون من خلال شريط العناوين، وما إلى ذلك. وهذا يعني التحكم في حقن SQL، وتتضمن أيضًا عمليات تصفية أخرى والتحقق الآخر من بيانات إدخال المستخدم لمنع هجمات حقن SQL.

(2): بالنسبة لهجمات البرمجة النصية عبر المواقع: قم بتشفير المحتوى الذي لا يدعم HTML مباشرةً لحل المشكلات عبر المواقع بشكل أساسي. بالنسبة للمحتوى الذي يدعم Html، لدينا وظيفة تصفية خاصة ستقوم بمعالجة البيانات بشكل آمن (استنادًا إلى أمثلة الهجوم لمكتبة هجوم XSS)، على الرغم من أن هذه الطريقة آمنة حاليًا، إلا أنها لا تعني أنها ستكون آمنة في المستقبل ، لأنه سيستمر تحديث أساليب الهجوم، كما سيتم أيضًا تحديث مكتبة وظائف التصفية لدينا باستمرار.

بالإضافة إلى ذلك، قمنا أيضًا بإصدار أحكام بشأن الوصول إلى الموقع الخارجي والوصول المباشر، والذي يمكنه أيضًا تجنب الهجمات عبر المواقع إلى حد ما. حتى في حالة حدوث هجوم عبر المواقع، فسوف نقوم بتقليل تأثير الهجوم: 1. بالنسبة لبعض الأماكن في الخلفية حيث يتم عرض محتوى HTML، استخدم سمة الأمان Security = "restricted" للإطار لمنع تشغيل البرنامج النصي (صالح لـ IE) 2. استخدم سمة ملف تعريف الارتباط HttpOnly لمنع تسرب ملفات تعريف الارتباط من خلال البرامج النصية (IE6 SP1 أو أعلى، Firefox 3)؛ 3. تذاكر المصادقة مشفرة 4. يوصى باستخدام إصدار أعلى من IE أو FF.

النصيحة 3 من مستخدمي الإنترنت: دعوة مشرفي المواقع والحكومة إلى الاهتمام بأمن الموقع وتعبئة القفل الثالث في 29 أبريل 2008، أصدر المكتب العام لمجلس الدولة "آراء المكتب العام لمجلس الدولة بشأن عدة". القضايا المتعلقة بتنفيذ لوائح جمهورية الصين الشعبية بشأن الكشف عن المعلومات الحكومية "" (Guobanfa (2008] رقم 36)،)، تعكس المقالة بشكل كامل تحديد الكشف عن الشؤون الحكومية، وقنوات المعلومات المهمة للشؤون الحكومية الإفصاح هو وسائل الإعلام الورقية التقليدية والمواقع الحكومية، ولكن وفقًا لرصد CNCERT/CC، تم التلاعب بالبر الرئيسي للصين. وصل إجمالي عدد مواقع الويب إلى 61,228، بزيادة قدرها 1.5 مرة مقارنة بالعام الماضي. وصل عدد المواقع الحكومية التي تم التلاعب بها في الصين القارية إلى 3407. في عام 2007، تم التلاعب شهريًا بإجمالي 4234 موقعًا إلكترونيًا حكوميًا في الصين القارية.

تثبت سلسلة من الأرقام والحقائق أن لدينا مخاطر خفية كبيرة في أمان مواقع الويب، ويلعب مشرفو المواقع والحكومة دورًا مهمًا في الأمان، فمن ناحية، ندعو مشرفي المواقع إلى الاهتمام بأمن مواقع الويب وبناء بيئة أمان مواقع الويب قدرات الحماية الأساسية للحد من خطر التعرض لهجوم من قبل "المتسللين" ومن ناحية أخرى، ندعو الحكومة إلى الاهتمام، واتخاذ إجراءات صارمة ضد جرائم القرصنة الإلكترونية، وتعزيز تشريعات جرائم الإنترنت، وضمان أمن المواقع بشكل مؤسسي. .