전문가들이 안전한 서버 환경 구축 방법을 알려드립니다.

최근 인터넷 보안 분야에서 '웹사이트 해킹'과 '올림픽 해킹'이 화제가 되고 있는 것으로 보인다. 최근 해커의 공격을 받는 웹사이트에 대한 뉴스가 자주 보도되고 있습니다. 관련 자료에 따르면 올해 1월부터 5월까지 전국에서 30,000개 이상의 웹사이트가 "해커"에 의해 공격을 받았습니다! 전문적인 보호 역량이 부족해 중소기업 정부 홈페이지와 기업 홈페이지가 '해커' 침입의 가장 큰 피해자가 됐다.

중소 규모 웹사이트의 보안 예방 문제 전문가가 전하는 팁 1: 첫 번째 잠금을 방지하기 위해 안전한 서버 환경을 구축하세요. 웹사이트 유지 관리를 담당하는 산시성 지진국 기술자에 따르면 산시성 지진 네트워크가 해커의 공격을 받았습니다. , 홈페이지에 표시되는 "웹사이트 외관" "중요한 보안 취약점"이라는 정보는 해커들이 공개한 허위 정보입니다. 그러나 해당 웹사이트는 현재 안전하게 운영되고 있으며 기술적인 취약점은 없습니다. 우리는 "지진 해커"를 비난하는 동시에 또 다른 질문에 대해서도 생각하고 있습니다. 우리 웹 사이트의 안전한 운영을 보장하는 방법은 무엇입니까? 이에 대해 기자는 국내 중소규모 웹사이트 보안예방 전문가들을 직접 방문했다.

보고서에 따르면 안전한 서버 환경을 구축하고 최초의 해커 공격 체인을 구축하세요. 그러나 "해커" 공격에 저항하기 위한 안전한 서버 환경을 구축하려면 다양한 측면이 필요합니다. 그러나 중소 규모 웹사이트의 경우 다음 세 가지 측면에서 수행할 수 있습니다. (1): 기술 수준: 사용 소프트웨어 및 하드웨어 방화벽, 바이러스 백신 소프트웨어, 페이지 변조 방지 시스템을 통해 구조적으로 건전한 웹 서버 환경을 구축합니다. (2) 서비스 측면에서 네트워크 토폴로지 분석을 수행하고 중앙 컴퓨터실 관리 시스템을 구축하며 정기적인 업그레이드를 구축합니다. 운영 체제 및 바이러스 백신 소프트웨어를 위한 메커니즘 및 중요한 서버 모니터링 액세스 로그는 백업되며 이러한 서비스는 네트워크 간섭 방지를 강화하는 데 사용됩니다. (3) 지원 측면에서 서비스 제공업체는 다음을 제공해야 합니다. 네트워크의 신뢰성을 향상시키기 위한 문제 해결 서비스.

그러나 현재 대부분의 중소 규모 웹사이트는 가상 호스트 형태로 호스팅되고 있습니다. 웹사이트 보안을 강화하고 해커 공격의 위험을 줄이기 위해 웹사이트 관리자는 적시에 웹사이트 프로그램에 최신 패치를 적용하고 강화해야 합니다. 보안에 주의하고, 주입 취약점 예방에 주의하고, 취약점 및 기타 문제를 업로드하는 동시에 강력한 기술력, 높은 보안 요소를 갖춘 서비스 제공업체에서 웹 사이트를 호스팅하고 고객이 보안 문제를 해결하도록 적극적으로 지원할 수 있습니다. 웹사이트의 안전한 운영 환경의 안전성을 보장합니다.

전문가 팁 2: 웹 사이트 시스템의 보안에 주의하고 2차 잠금 장치를 배포하여 안전한 서버 환경을 구축하세요. 이는 외부의 "해커"로부터의 공격만 차단할 뿐이지만, 더 중요한 것은 웹 사이트의 보안을 확보하는 것입니다. 해커가 시스템 취약점을 악용하여 웹사이트 보안을 위협하는 것을 방지합니다.

동이컴퍼니 네트워크 보안 전문가에 따르면 2007년 OWASP 기관이 발표한 웹 애플리케이션 취약점 상위 10위 통계 결과에 따르면 크로스 사이트 스크립팅, 인젝션 취약점, 크로스 사이트 요청 위조, 정보 등의 문제가 발생했다. 특히 SQL 주입 공격 및 크로스 사이트 스크립팅 공격과 같은 인기 있는 공격 방법은 프로그래머가 코드를 작성할 때 사용자 입력 데이터의 적법성을 판단하지 못하게 하여 침입자가 다음과 같은 행위를 할 수 있도록 합니다. 사이트 간 스크립팅 공격이 웹 페이지에 악성 코드를 추가하는 동안 악성 SQL 명령을 삽입하고 실행하면 악성 코드가 실행되거나 메시지가 전송됩니다. 관리자에게 브라우징을 유도하여 관리자 권한을 획득하고 웹사이트 전체를 제어하는 ​​방식입니다.

그렇다면 이러한 해커의 공격을 차단할 수 있는 효과적인 보안 대책은 없을까요? SiteFactory 콘텐츠 관리 시스템 개발 과정에서 다양한 공격 방법에 대한 완전한 방어 계획이 수립되었으며 ASP.NET의 특성과 기능을 활용하여 악의적인 사용자의 공격에 효과적으로 저항할 수 있는 것으로 알려졌습니다. 웹사이트의 성능을 향상시키고, 현재의 SQL 주입 공격과 크로스 사이트 스크립팅 공격을 차단하는 더 효과적인 방법은 무엇입니까? 이를 위해 우리는 몇 가지 보안 방법을 소개해준 Dongyi의 네트워크 보안 전문가에게 물었습니다.

(1) SQL 삽입 공격의 경우: Dongyi 시스템은 SQL 쿼리 문에서 쿼리 매개변수를 필터링하여 SQL 매개변수 유형, 수량 및 범위 제한 기능 문제를 근본적으로 해결하기 위해 유형이 안전한 SQL 매개변수화된 쿼리 방법을 사용합니다. 이는 주소 표시줄 등을 통한 악의적인 사용자의 악의적인 공격입니다. 이는 SQL 주입을 제어하는 ​​것을 의미하며, SQL 주입 공격을 방지하기 위한 기타 필터링 프로세스 및 사용자 입력 데이터에 대한 기타 검증도 포함됩니다.

(2): 크로스 사이트 스크립팅 공격의 경우: HTML을 지원하지 않는 콘텐츠를 직접 인코딩하여 크로스 사이트 문제를 근본적으로 해결합니다. Html을 지원하는 콘텐츠의 경우 데이터를 안전하게 처리하는 특수 필터링 기능이 있습니다(XSS 공격 라이브러리의 공격 예를 기반으로 함). 이 방법은 현재 안전하지만 앞으로도 안전하다는 의미는 아닙니다. , 공격 방법은 계속 업데이트될 예정이며 필터링 기능 라이브러리도 지속적으로 업데이트될 예정입니다.

또한, 크로스 사이트 공격도 어느 정도 방지할 수 있는 외부 사이트 접속과 직접 접속에 대한 판단도 내렸습니다. 크로스 사이트 공격이 발생하더라도 공격의 영향을 최소화하겠습니다. 1. HTML 콘텐츠가 표시되는 백그라운드의 일부 위치에서는 프레임의 보안 속성 security="restricted"를 사용하여 스크립트가 실행되지 않도록 합니다. (IE에 유효) 2. 쿠키의 HttpOnly 속성을 사용하여 스크립트를 통해 쿠키가 유출되는 것을 방지합니다(IE6 SP1 이상, Firefox 3). 3. 인증 티켓은 암호화됩니다. 4. 상위 버전을 사용하는 것이 좋습니다. IE 또는 FF.

네티즌의 제3조: 웹마스터와 정부에 웹사이트 보안에 주의를 기울이고 세 번째 잠금 장치를 가동할 것을 촉구합니다. 2008년 4월 29일 국무원 사무국은 '여러 문제에 대한 국무원 사무국의 의견'을 발표했습니다. 중화인민공화국 정부정보공개조례 시행에 관한 문제"(국반파(2008) 제36호), 이 기사는 정무공개 결정과 정무의 중요한 정보채널을 충분히 반영하고 있다. 공개된 웹사이트는 전통적인 종이 매체와 정부 웹사이트이지만 CNCERT/CC 모니터링에 따르면 중국 본토의 웹사이트가 변조되었습니다. 총 웹사이트 수는 작년보다 1.5배 증가한 61,228개에 달했습니다. 중국 본토에서 변조된 정부 웹사이트의 수는 3,407개에 달했습니다. 2007년에는 매달 중국 본토의 정부 웹사이트 총 4,234개가 변조되었습니다.

일련의 수치와 사실은 웹사이트 보안에 중대한 숨겨진 위험이 있음을 입증하고 있으며, 웹마스터와 정부는 보안에 중요한 역할을 하고 있습니다. 한편, 우리는 웹마스터에게 웹사이트 보안에 주의를 기울이고 웹사이트 보안 환경을 구축할 것을 촉구합니다. '해커'의 공격을 받을 위험을 줄이기 위한 기본적인 보호 역량은 한편, 정부의 관심과 사이버 해커 범죄에 대한 적극적인 단속, 인터넷범죄 관련법 강화, 웹사이트 보안의 제도적 보장을 촉구한다. .