Эксперты научат вас, как создать безопасную серверную среду

«Взлом веб-сайтов» и «олимпийский взлом», похоже, в последнее время стали горячей темой в сфере интернет-безопасности. Поиск по запросу «олимпийский взлом» в Google был выполнен более 646 000 раз, что свидетельствует о высокой степени внимания, которое он получил. обычные Новости об атаках хакеров на веб-сайты в последнее время поступают часто. По актуальным данным, с января по май этого года «хакерами» были атакованы более 30 000 веб-сайтов по всей стране! Из-за отсутствия профессиональных возможностей защиты, малые и средние правительственные веб-сайты и корпоративные веб-сайты стали крупнейшими жертвами «хакерских» вторжений.

Совет 1 от экспертов по вопросам предотвращения безопасности для малых и средних веб-сайтов: создайте безопасную серверную среду, чтобы предотвратить первую блокировку. По словам специалиста из Бюро землетрясений провинции Шэньси, отвечающего за обслуживание веб-сайтов, сеть землетрясений Шэньси подверглась атаке хакеров. и «Внешний вид веб-сайта», отображаемый на главной странице. Информация «Основная уязвимость безопасности» является ложной информацией, опубликованной хакерами. Однако в настоящее время веб-сайт работает безопасно и не имеет технических уязвимостей. Осуждая «хакеров-землетрясений», мы думаем и над другим вопросом: как обеспечить безопасную работу нашего сайта? По этому вопросу репортер посетил отечественных экспертов по предотвращению безопасности малых и средних веб-сайтов.

По отчетам: Создайте безопасную серверную среду и проведите первую цепочку хакерских атак. Однако создание безопасной серверной среды для защиты от «хакерских» атак включает в себя широкий спектр аспектов. Однако, что касается веб-сайтов малого и среднего размера, это можно сделать с помощью трех аспектов: (1): Технический уровень: использование. программные и аппаратные брандмауэры и антивирусное программное обеспечение, система защиты от взлома страниц для создания структурно надежной среды веб-сервера (2): с точки зрения услуг, проведение анализа топологии сети, создание центральной системы управления компьютерным залом, регулярное обновление; механизм для операционных систем и антивирусного программного обеспечения, а также мониторинг важных серверов. Журналы доступа резервируются, и эти услуги используются для повышения защиты от помех в сети (3): Что касается поддержки, поставщики услуг должны ее предоставлять; услуги по устранению неполадок для повышения надежности сети.

Однако большинство веб-сайтов малого и среднего размера в настоящее время размещаются в виде виртуальных хостов. Чтобы повысить безопасность веб-сайтов и снизить риск хакерских атак, администраторы веб-сайтов должны своевременно применять последние исправления к программам своих веб-сайтов и укреплять их во время работы. Помните о безопасности, уделяйте внимание предотвращению уязвимостей внедрения, уязвимостей загрузки и других проблем. В то же время разместите веб-сайт у поставщика услуг с сильным техническим потенциалом и высоким фактором безопасности, который может активно помогать клиентам решать проблемы безопасности. обеспечить безопасность безопасной рабочей среды сайта.

Совет эксперта 2: обратите внимание на безопасность системы веб-сайта и установите вторую блокировку для создания безопасной серверной среды. Это только блокирует атаки «хакеров» извне, но, что более важно, важно обеспечить безопасность. систему веб-сайта и не позволяют хакерам использовать уязвимости системы для атак, тем самым ставя под угрозу безопасность веб-сайта.

По мнению экспертов по сетевой безопасности из компании Dongyi: Согласно статистическим результатам 10 крупнейших рейтингов уязвимостей веб-приложений, опубликованных организацией OWASP в 2007 году, такие проблемы, как межсайтовый скриптинг, уязвимости внедрения, подделка межсайтовых запросов и утечки по-прежнему являются проблемой для нынешних хакеров. Популярные методы атак, особенно атаки с использованием SQL-инъекций и атаки с использованием межсайтовых сценариев. Так называемые атаки с использованием SQL-инъекций используют программистов, чтобы не оценить законность вводимых пользователем данных при написании кода, что позволяет злоумышленникам. вставлять и выполнять вредоносные команды SQL, чтобы получить разрешение на чтение и изменение данных; в то время как атаки с использованием межсайтовых сценариев добавляют вредоносный код на веб-страницу, когда посетитель просматривает веб-страницу, вредоносный код будет выполнен или отправлен на него сообщение. администратор. Этот метод побуждает администраторов просматривать веб-сайты, тем самым получая права администратора и контролируя весь веб-сайт.

Итак, существуют ли эффективные меры безопасности для блокировки такого рода хакерских атак? Сообщается, что при разработке системы управления контентом SiteFactory были сформулированы соответствующие полные планы защиты для различных методов атак, и с помощью характеристик и функций ASP.NET она может эффективно противостоять атакам злоумышленников на сайт. веб-сайт и повысить его безопасность, но какие более эффективные средства их блокировки можно использовать для текущих атак с использованием SQL-инъекций и атак с использованием межсайтовых сценариев? С этой целью мы обратились к экспертам по сетевой безопасности Dongyi, которые познакомили нас с некоторыми методами безопасности:

(1) Для атак с использованием SQL-инъекций: система Dongyi фильтрует параметры запроса в операторах SQL-запроса, используя типобезопасные методы параметризованных запросов SQL, чтобы фундаментально решить проблему типа, количества и диапазона параметров SQL-инъекции, а также решить проблему; злонамеренные атаки злоумышленников через адресную строку и т. д. Эти средства контролируют SQL-инъекцию, а также включают в себя другие процессы фильтрации и другую проверку вводимых пользователем данных для предотвращения атак SQL-инъекций.

(2): Для атак с использованием межсайтовых сценариев: напрямую кодируйте контент, который не поддерживает HTML, для фундаментального решения межсайтовых проблем. Для контента, поддерживающего Html, у нас есть специальная функция фильтрации, которая будет безопасно обрабатывать данные (на основе примеров атак библиотеки XSS). Хотя этот метод в настоящее время безопасен, это не означает, что он будет безопасен в будущем. , потому что методы атаки будут продолжать обновляться, и наша библиотека функций фильтрации также будет постоянно обновляться.

Кроме того, мы также сделали выводы о доступе к внешним сайтам и прямом доступе, что также позволяет в определенной степени избежать межсайтовых атак. Даже если произойдет межсайтовая атака, мы минимизируем ее последствия: 1. Для некоторых мест в фоновом режиме, где отображается HTML-контент, используйте атрибут безопасности фрейма Security="restricted", чтобы предотвратить запуск сценария. (действительно для IE) 2. Используйте атрибут HttpOnly файла cookie, чтобы предотвратить утечку файлов cookie через сценарии (IE6 SP1 или выше, Firefox 3). 3. Билеты аутентификации зашифрованы. 4. Рекомендуется использовать более позднюю версию; ИЕ или ФФ.

Совет 3 от пользователей сети: призовите веб-мастеров и правительство обратить внимание на безопасность веб-сайтов и мобилизовать третий замок. 29 апреля 2008 года Главное управление Государственного совета опубликовало «Мнения Главного управления Государственного совета по некоторым вопросам». Вопросы, касающиеся реализации Положений Китайской Народной Республики о раскрытии государственной информации»» (Гуобаньфа (2008 г., № 36)), в статье полностью отражено определение раскрытия государственных дел, а также важные информационные каналы для государственных дел. раскрытие информации осуществляется традиционными бумажными СМИ и правительственными веб-сайтами, но, по данным мониторинга CNCERT/CC, материковый Китай подвергся вмешательству. Общее количество веб-сайтов достигло 61 228, что в 1,5 раза больше, чем в прошлом году. Число взломанных правительственных веб-сайтов в материковом Китае достигло 3407. В 2007 году в общей сложности ежемесячно подвергались взломам 4234 правительственных веб-сайта в материковом Китае.

Ряд цифр и фактов доказывают, что у нас есть серьезные скрытые опасности в безопасности веб-сайтов, а веб-мастера и правительство играют важную роль в безопасности. С одной стороны, мы призываем веб-мастеров обратить внимание на безопасность веб-сайтов и создать среду безопасности веб-сайтов. . Базовые возможности защиты для снижения риска атак со стороны «хакеров». С другой стороны, мы призываем правительство обратить внимание, активно бороться с преступлениями кибер-хакеров, ужесточить законодательство об интернет-преступлениях и институционально обеспечить безопасность веб-сайтов. .