Para ahli mengajari Anda cara membangun lingkungan server yang aman

"Peretasan situs web" dan "peretasan Olimpiade" tampaknya telah menjadi topik hangat dalam keamanan Internet baru-baru ini. Penelusuran untuk istilah "peretasan Olimpiade" di Google telah mencapai lebih dari 646.000 kali, yang menunjukkan tingginya tingkat perhatian yang diterimanya, dan biasa Berita tentang situs web yang diserang oleh peretas telah sering dilaporkan baru-baru ini Menurut data yang relevan, dari Januari hingga Mei tahun ini, lebih dari 30.000 situs web di seluruh negeri diserang oleh "peretas"! Karena kurangnya kemampuan perlindungan profesional, situs web pemerintah kecil dan menengah serta situs web perusahaan telah menjadi korban terbesar dari intrusi "peretas".

Tip 1 dari para ahli tentang masalah pencegahan keamanan untuk situs web berukuran kecil dan menengah: Bangun lingkungan server yang aman untuk mencegah kunci pertama Menurut teknisi dari Biro Gempa Shaanxi yang bertanggung jawab atas pemeliharaan situs web, Jaringan Gempa Shaanxi diserang oleh peretas. , dan "Tampilan Situs Web" ditampilkan di beranda. Informasi "Kerentanan Keamanan Utama" adalah informasi palsu yang dikeluarkan oleh peretas. Meskipun kami mengutuk "peretas gempa", kami juga memikirkan pertanyaan lain: bagaimana memastikan pengoperasian situs web kami dengan aman? Mengenai masalah ini, reporter mengunjungi pakar dalam negeri mengenai pencegahan keamanan situs web kecil dan menengah.

Menurut laporan: Bangun lingkungan server yang aman dan bangun rantai serangan peretas pertama. Namun, membangun lingkungan server yang aman untuk melawan serangan "peretas" melibatkan berbagai aspek. Namun, jika menyangkut situs web berukuran kecil dan menengah, hal ini dapat dilakukan dari tiga aspek: (1): Tingkat teknis: penggunaan. firewall perangkat lunak dan perangkat keras serta perangkat lunak anti-virus, sistem anti-gangguan halaman untuk membangun lingkungan server Web yang sehat secara struktural; (2): Dalam hal layanan, melakukan analisis topologi jaringan, membangun sistem manajemen ruang komputer pusat, membuat peningkatan rutin mekanisme untuk sistem operasi dan perangkat lunak anti-virus, dan memantau server penting Log akses dicadangkan, dan layanan ini digunakan untuk meningkatkan anti-interferensi jaringan; (3): Dalam hal dukungan, penyedia layanan diharuskan menyediakan layanan pemecahan masalah untuk meningkatkan keandalan jaringan.

Namun, sebagian besar situs web berukuran kecil dan menengah saat ini dihosting dalam bentuk host virtual. Untuk meningkatkan keamanan situs web dan mengurangi risiko serangan peretas, administrator situs web harus menerapkan perbaikan terbaru pada program situs web mereka secara tepat waktu dan memperkuatnya selama proses tersebut. pengembangan. Waspadai keamanan, perhatikan pencegahan kerentanan injeksi, kerentanan unggahan, dan masalah lainnya. Pada saat yang sama, host situs web di penyedia layanan dengan kekuatan teknis yang kuat, faktor keamanan yang tinggi, dan dapat secara proaktif membantu pelanggan memecahkan masalah keamanan untuk. memastikan keamanan lingkungan pengoperasian situs web yang aman.

Tip Ahli 2: Perhatikan keamanan sistem situs web dan terapkan kunci kedua untuk membangun lingkungan server yang aman. Ini hanya memblokir serangan dari "peretas" dari luar, tetapi yang lebih penting, penting untuk memastikan keamanan dari sistem situs web dan mencegah peretas mengeksploitasi kerentanan sistem untuk menyerang, sehingga mengancam keamanan situs web.

Menurut pakar keamanan jaringan dari Perusahaan Dongyi: Menurut hasil statistik dari 10 peringkat teratas kerentanan aplikasi Web yang dirilis oleh organisasi OWASP pada tahun 2007, masalah seperti skrip lintas situs, kerentanan injeksi, pemalsuan permintaan lintas situs, dan informasi kebocoran masih menjadi masalah bagi peretas saat ini. Metode serangan populer, terutama serangan injeksi SQL dan serangan skrip lintas situs, yang disebut serangan injeksi SQL menggunakan pemrogram untuk gagal menilai legalitas data masukan pengguna saat menulis kode, sehingga memungkinkan penyusup untuk menilai legalitas data masukan pengguna saat menulis kode. menyisipkan Dan menjalankan perintah SQL berbahaya untuk mendapatkan izin membaca dan mengubah data; sementara serangan skrip lintas situs menambahkan kode berbahaya ke halaman web, kode berbahaya akan dieksekusi atau dengan mengirimkan pesan ke administrator. Metode ini mendorong administrator untuk menjelajah, sehingga memperoleh hak administrator dan mengendalikan seluruh situs web.

Jadi, apakah ada langkah keamanan yang efektif untuk memblokir serangan hacker semacam ini? Dilaporkan bahwa dalam pengembangan sistem manajemen konten SiteFactory?, rencana pertahanan lengkap yang sesuai telah dirumuskan untuk berbagai metode serangan, dan dengan bantuan karakteristik dan fungsi ASP.NET, sistem ini dapat secara efektif menahan serangan oleh pengguna jahat di sistem manajemen konten. situs web dan meningkatkan kinerja situs web, tetapi untuk serangan injeksi SQL dan serangan skrip lintas situs saat ini, cara apa yang lebih efektif untuk memblokirnya? Untuk tujuan ini, kami bertanya kepada pakar keamanan jaringan Dongyi, yang memperkenalkan kami pada beberapa metode keamanan:

(1) Untuk serangan injeksi SQL: Sistem Dongyi memfilter parameter kueri dalam pernyataan kueri SQL menggunakan metode kueri parameterisasi SQL yang aman untuk memecahkan masalah fungsi pembatasan jenis, kuantitas, dan rentang parameter URL injeksi SQL, menyelesaikan masalah serangan jahat oleh pengguna jahat melalui bilah alamat, dll. Ini berarti mengontrol injeksi SQL, dan juga mencakup proses pemfilteran lainnya dan verifikasi data masukan pengguna lainnya untuk mencegah serangan injeksi SQL.

(2): Untuk serangan skrip lintas situs: langsung menyandikan konten yang tidak mendukung HTML untuk menyelesaikan masalah lintas situs secara mendasar. Untuk konten yang mendukung Html, kami memiliki fungsi pemfilteran khusus yang akan memproses data dengan aman (berdasarkan contoh serangan pustaka serangan XSS). Meskipun metode ini saat ini aman, bukan berarti akan aman di masa mendatang , karena metode Serangan akan terus diperbarui, dan pustaka fungsi pemfilteran kami juga akan terus diperbarui.

Selain itu, kami juga telah membuat penilaian mengenai akses situs eksternal dan akses langsung, yang juga dapat menghindari serangan lintas situs sampai batas tertentu. Bahkan jika serangan lintas situs terjadi, kami akan meminimalkan dampak serangan tersebut: 1. Untuk beberapa tempat di latar belakang di mana konten HTML ditampilkan, gunakan atribut keamanan security="restricted" dari bingkai untuk mencegah skrip berjalan (berlaku untuk IE) ; 2. Gunakan atribut HttpOnly dari Cookie untuk mencegah kebocoran cookie melalui skrip (IE6 SP1 atau lebih tinggi, Firefox 3); 3. Tiket otentikasi dienkripsi 4. Disarankan untuk menggunakan versi yang lebih tinggi; IE atau FF.

Tip 3 dari netizen: Menyerukan para webmaster dan pemerintah untuk memperhatikan keamanan situs web dan memobilisasi kunci ketiga. Pada tanggal 29 April 2008, Kantor Umum Dewan Negara mengeluarkan "Pendapat Kantor Umum Dewan Negara tentang Beberapa. Permasalahan Mengenai Implementasi Peraturan Republik Rakyat Tiongkok tentang Keterbukaan Informasi Pemerintah" "(Guobanfa (2008] No. 36),), pasal tersebut sepenuhnya mencerminkan penentuan keterbukaan urusan pemerintahan, dan saluran informasi penting untuk urusan pemerintahan pengungkapannya adalah media kertas tradisional dan situs web pemerintah, namun menurut pemantauan CNCERT/CC, Tiongkok daratan telah dirusak. Jumlah total situs web mencapai 61.228, meningkat 1,5 kali lipat dibandingkan tahun lalu. Jumlah situs pemerintah yang dirusak di daratan Tiongkok mencapai 3.407. Pada tahun 2007, total 4.234 situs web pemerintah di Tiongkok daratan dirusak setiap bulannya.

Serangkaian angka dan fakta membuktikan bahwa kami memiliki bahaya besar yang tersembunyi dalam keamanan situs web, dan webmaster serta pemerintah memainkan peran penting dalam keamanan. Di satu sisi, kami menghimbau para webmaster untuk memperhatikan keamanan situs web dan membangun lingkungan keamanan situs web . Kemampuan perlindungan dasar untuk mengurangi risiko diserang oleh "peretas". Di sisi lain, kami meminta pemerintah untuk memberikan perhatian, secara aktif menindak kejahatan peretas dunia maya, memperkuat undang-undang kejahatan internet, dan secara institusional menjamin keamanan situs web. .