専門家が安全なサーバー環境を構築する方法を教えます

最近インターネットセキュリティでは「ウェブサイトハッキング」と「オリンピックハッキング」が話題になっているようで、Googleで「オリンピックハッキング」という言葉が検索された件数は64万6000件を超えており、注目度の高さがうかがえます。最近、Web サイトがハッカーに攻撃されたというニュースが頻繁に報道されています。関連データによると、今年 1 月から 5 月までに、全国で 30,000 以上の Web サイトが「ハッカー」に侵入されました。専門的な保護機能が不足しているため、中小規模の政府 Web サイトや企業 Web サイトが「ハッカー」侵入の最大の被害者となっています。

中小規模ウェブサイトのセキュリティ防止問題に関する専門家からのヒント 1: 最初のロックを防ぐために安全なサーバー環境を構築する ウェブサイトの保守を担当する陝西省地震局の技術者によると、陝西省地震ネットワークがハッカーに攻撃されたという。 、およびホームページに表示される「Webサイトの外観」 「重大なセキュリティ上の脆弱性」という情報は、ハッカーによって公開された誤った情報ですが、Webサイトは現在安全に動作しており、技術的な脆弱性はありません。私たちは「地震ハッカー」を非難する一方で、別の質問についても考えています。それは、Web サイトの安全な運営をどのように確保するかということです。この問題について記者は、中小規模のウェブサイトのセキュリティ対策に関する国内の専門家を訪ねた。

レポートによると: 安全なサーバー環境を構築し、ハッカー攻撃の最初の連鎖を構築します。ただし、「ハッカー」攻撃に対抗する安全なサーバー環境の構築にはさまざまな側面が含まれますが、中小規模の Web サイトに関する限り、次の 3 つの側面から実現できます。 (1): 技術レベル: 使用。ソフトウェアおよびハードウェアのファイアウォールとウイルス対策ソフトウェア、構造的に健全な Web サーバー環境を確立するためのページ改ざん防止システム、(2): サービスの面では、ネットワーク トポロジー分析の実施、中央コンピューター ルーム管理システムの確立、定期的なアップグレードの確立。オペレーティングシステムやウイルス対策ソフトの仕組み、重要なサーバーの監視など アクセスログをバックアップし、ネットワークの耐干渉性を強化するサービスです。ネットワークの信頼性を向上させるためのトラブルシューティング サービス。

ただし、現在、ほとんどの中小規模の Web サイトは仮想ホストの形式でホストされており、Web サイトのセキュリティを向上させ、ハッカー攻撃のリスクを軽減するために、Web サイト管理者は Web サイト プログラムに最新のパッチを適時に適用し、そのプログラムを強化する必要があります。セキュリティを意識し、インジェクションの脆弱性、アップロードの脆弱性などの問題の防止に注意を払うと同時に、強力な技術力と高いセキュリティ要素を備えたサービスプロバイダーで Web サイトをホストし、顧客のセキュリティ問題の解決を積極的に支援します。ウェブサイトの安全な動作環境の安全性を確保します。

専門家のヒント 2: Web サイトのシステムのセキュリティに注意し、2 番目のロックを導入して安全なサーバー環境を構築します。これは外部からの「ハッカー」からの攻撃をブロックするだけですが、それよりも重要なのは、Web サイトのセキュリティを確保することです。ウェブサイトのシステムを保護し、ハッカーがシステムの脆弱性を悪用して攻撃することを防ぎ、ウェブサイトのセキュリティを脅かします。

Dongyi Company のネットワーク セキュリティ専門家によると、OWASP 組織が 2007 年に発表した Web アプリケーションの脆弱性トップ 10 ランキングの統計結果によると、クロスサイト スクリプティング、インジェクションの脆弱性、クロスサイト リクエスト フォージェリ、情報セキュリティなどの問題が発生しています。漏洩は、現在のハッカーにとって依然として問題となっています。特に SQL インジェクション攻撃とクロスサイト スクリプティング攻撃は、プログラマがコードを作成する際にユーザー入力データの正当性を判断できず、侵入者に悪影響を及ぼします。悪意のある SQL コマンドを挿入して実行し、データの読み取りと変更の許可を取得します。一方、クロスサイト スクリプティング攻撃は、訪問者が Web ページを閲覧すると、悪意のあるコードが実行されるか、Web ページにメッセージを送信します。管理者を閲覧させることで管理者権限を取得し、Webサイト全体を制御する方法です。

では、この種のハッカー攻撃をブロックする効果的なセキュリティ対策はあるのでしょうか? SiteFactory? コンテンツ管理システムの開発では、さまざまな攻撃手法に対応する完全な防御計画が策定されており、ASP.NET の特性と機能を利用して、悪意のあるユーザーによる攻撃を効果的に防御できると報告されています。 Web サイトのパフォーマンスを向上させますが、現在の SQL インジェクション攻撃やクロスサイト スクリプティング攻撃をブロックするより効果的な手段は何でしょうか?この目的を達成するために、私たちは Dongyi のネットワーク セキュリティの専門家に質問し、いくつかのセキュリティ方法を紹介してもらいました。

(1) SQL インジェクション攻撃の場合: Dongyi システムは SQL クエリ ステートメント内のクエリ パラメータをフィルタリングし、タイプ セーフな SQL パラメータ化クエリ メソッドを使用して、SQL インジェクション関数の問題を根本的に解決します。これらの手段は SQL インジェクションを制御し、SQL インジェクション攻撃を防ぐための他のフィルタリング プロセスやユーザー入力データの検証も含みます。

(2): クロスサイト スクリプティング攻撃の場合: HTML をサポートしていないコンテンツを直接エンコードして、クロスサイトの問題を根本的に解決します。 HTMLをサポートするコンテンツについては、データを安全に処理する特別なフィルタリング機能を備えています（XSS攻撃ライブラリの攻撃例に基づいて）この方法は現時点では安全ですが、将来的に安全であることを意味するものではありません。なぜなら、攻撃手法は継続的に更新され、フィルタリング関数ライブラリも常に更新されるからです。

また、外部サイトへのアクセスと直接アクセスの判定も行っており、クロスサイト攻撃もある程度回避できます。クロスサイト攻撃が発生した場合でも、攻撃の影響を最小限に抑えます。 1. HTML コンテンツが表示されるバックグラウンドの一部の場所では、フレームのセキュリティ属性 security="restricted" を使用して、スクリプトが実行されないようにします。 (IE で有効) ; 2. Cookie の HttpOnly 属性を使用して、スクリプトを介した Cookie の漏洩を防止します (IE6 SP1 以降、Firefox 3)。 4. より高いバージョンの認証チケットを使用することをお勧めします。 IEとかFFとか。

ネチズンからのヒント 3: ウェブマスターと政府に対し、ウェブサイトのセキュリティに注意を払い、第 3 のロックを動員するよう呼びかけます。 「中華人民共和国政府情報公開規則の実施に関する問題」(国番発 (2008) No. 36)、この記事は政府事務の公開に関する決定と政府事務の重要な情報チャネルを完全に反映しています。公開されているのは従来の紙媒体と政府のウェブサイトですが、CNCERT/CCの監視によると、中国本土のウェブサイトの総数は61,228に達し、昨年と比較して1.5倍に増加しました。中国本土で改ざんされた政府ウェブサイトの数は3,407件に達した。 2007 年には、中国本土の合計 4,234 の政府 Web サイトが毎月改ざんされました。

一連の数字や事実は、Web サイトのセキュリティに大きな隠れた危険があることを証明しており、Web マスターと政府がセキュリティにおいて重要な役割を果たしている一方で、Web マスターに Web サイトのセキュリティに注意を払い、Web サイトのセキュリティ環境を構築するよう呼びかけています。一方で、「ハッカー」による攻撃のリスクを軽減するための基本的な保護機能については、政府に対し注意を払い、サイバーハッカー犯罪を積極的に取り締まり、インターネット犯罪法を強化し、ウェブサイトの安全性を制度的に確保するよう求めます。 。