网站入侵的过程是怎么样的哪些手段防御
直接上乌云网看啊,天天getshell,每天都在黑站。。。。
■网友
泻药。这个问题有些宽泛。常见的手段从SQL exploit、XSS、CRFS、到SE各有不同,还是具体手法因人而异,通常从检测到入侵没有具体规整的路径可循。对于初学者来说有六种最简单的防御方法:1)上带WAF、SSL的CDN并不要回源。这类CDN服务有很多,免费收费的都有,可以自己找。2)server端做好基础安全措施,防止服务器因为一些低级漏洞( e.g. root空密码+SSH端口没改)被入侵,推荐初学者参考Linode的docs:Securing Your Server 和 Control Network Traffic with iptables ;除此以外这篇文章快速入门也很棒:My First 5 Minutes On A Server; Or, Essential Security for Linux Servers3)所有软件保持更新并关注最新的0 day漏洞。譬如站点如果是基于Wordpress架设的,那么最近就应该更新到最新版本,因为:Zero Day XSS Vulnerability in WordPress 4.2 Currently Being Patched 。通常只要不是High Value Target,黑客不会表现出特别的兴趣,你不留漏洞给别人很少有人会来死磕。4)一定一定一定要求所有人用个复杂一点的用户名+密码,并不要与其他网站重复。有的管理员自己有意识要用复杂用户名+强密码,但是队友(其他维护者)不一定有这个意识,有的人取的用户名就是admin,密码就是admin888,随便WAF怎么给力这种密码简直就是卖队友。。。相比之下因为被拖库而泄露的密码则显得非常的情有可原。有条件的可以开启多因素验证及防爆破。5)做好权限隔离。因为有(4)当中提到的猪队友的预期,任何web app都应该做好权限隔离,给他们足够日常操作的权限就够了。譬如新闻网站的专栏编辑,就不应该有读取、下载备份的权限。这里说的权限隔离也包括文件夹目录的权限隔离,譬如上传图片的文件夹就不应该有权限执行php脚本,etc。6)code auditing:有很多软件可以自动进行code auditing发现潜在漏洞,为了避免引战这里不做过多推荐。不过我个人建议如果是小站点的话还是去依附于成熟的轮子或MVC进行直接部署/二次开发会比自己开发来的安全方便。这里不做更多展开。做到以上几条,日常小站点应该是足够了。但是安全永远不是绝对的,上面说的也只是非常投机取巧的建议,如果是上规模的站点还是老老实实砸钱雇人最靠谱。
推荐阅读
- 它浑身是毒,入侵我国却被大量种植,如今年产量高达55万吨
- 西藏航空一机长执飞过程中身体不适降落后送医去世
- 朋友圈直播酒驾全过程?警方:当事人涉嫌酒驾接受调查
- 有啥方法,网站,项目可以自己练习计算广告学
- 设计专业学生上传自己的作品,用哪个网站比较好
- 正点财经|
- 大三学生准备日本留学过程中要不要准备考研
- 大学要开始查文献le,求问有哪些中英文的文献网站或下载工具(最好是医药,生命科学类的),多谢啦?
- 电商网站支付流程的流失率是怎么样的从用户点击充值/支付按钮,到支付完成,其中每一步的流失比率都是咋样的
- 能否推荐一个能用快播看电影且电影都是中英双字幕的网站