完美世界辰东,完美世界小说下载,辰东完美世界有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

“拯救網(wǎng)站運(yùn)維經(jīng)理趙明”—紙上談兵與草廬對(duì)策

【.com獨(dú)家特稿】一個(gè)草民要想獲得大成功，單單有能力是不夠的。對(duì)于Web網(wǎng)站的安全，我們?nèi)绻總€(gè)部分都要抓，都要立即改變，這有可能將趙明直接通過時(shí)光送到戰(zhàn)亂的年代。因此，如果我們看待安全問題都先從技術(shù)上下手，往往要再奮斗個(gè)幾年才能治理好這個(gè)網(wǎng)站，但和時(shí)間不等人。因此，我們從大局上看，技術(shù)再好，沒有策略支撐是沒用，而策略沒有產(chǎn)品支持也如水中月、鏡中花那樣了。有人說安全靠的是3分技術(shù)，7分管理，那么解決趙明負(fù)責(zé)的這個(gè)網(wǎng)站必須要分成三個(gè)部分：技術(shù)+產(chǎn)品+管理，這也便是處理好自己眼前的這點(diǎn)事的對(duì)策。

昂昂溪網(wǎng)站制作公司哪家好，找成都創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站開發(fā)等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營維護(hù)。成都創(chuàng)新互聯(lián)公司從2013年創(chuàng)立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)公司。

此次攻擊行為的分析

Web 服務(wù)器是一個(gè)企業(yè)開放性最強(qiáng)的地方，也是暴露安全問題最多的領(lǐng)域，因此容易成為攻擊目標(biāo)。趙明作為技術(shù)負(fù)責(zé)人，要扭轉(zhuǎn)這種局面，就必須知道黑客是如何進(jìn)入或者攻擊Web 服務(wù)器的，掌握黑客入侵的手法才能建立對(duì)應(yīng)的保護(hù)體系。在進(jìn)一步討論之前，我們先看看這冊(cè) Web 服務(wù)器遭到入侵的分析。

腳本小子：大多數(shù)情況下，這些自動(dòng)進(jìn)行的攻擊由黑客社區(qū)中技能水平最低的人來實(shí)施，這些人通常在黑客社區(qū)中并不具備較高的知識(shí)水平，但這并不意味他們不危險(xiǎn)。當(dāng)腳本小子獲得一個(gè)向?qū)缘墓ぞ?，啟?dòng)一個(gè)攻擊，他們通常不了解這種行為的后果，如潛在地破壞系統(tǒng)或無意識(shí)地執(zhí)行拒絕服務(wù)攻擊（DoS）。這類人通常為一些網(wǎng)絡(luò)新手，他們CGI界面的掃描程序或密碼破解器（password cracker）并針對(duì)比較大的目標(biāo)運(yùn)行這些應(yīng)用程序以尋求一些 “有趣” 的結(jié)果，而趙明負(fù)責(zé)的網(wǎng)站很有可能因?yàn)闆]有防火墻而成為結(jié)果中的一部分。

腳本小子可以利用工具，構(gòu)建一個(gè)當(dāng)前在線并且可訪問的系統(tǒng)數(shù)據(jù)庫，例如： Angry IP scanner 或 Nmap執(zhí)行一個(gè)簡單的 ping 掃描，以獲得一個(gè)列表，然后使用 Nessus 和其他多種工具，利用漏洞數(shù)據(jù)庫掃描發(fā)現(xiàn)的每個(gè)系統(tǒng)，發(fā)現(xiàn)漏洞并利用該漏洞。攻擊者可以執(zhí)行掃描。一旦通過漏洞，獲得了了系統(tǒng)控制權(quán)，這些攻擊者會(huì)胡亂的搞一通，然后使用一項(xiàng)技術(shù)掩飾其蹤跡或滲透行為的證據(jù)，但如果沒有配套的刪除日志的工具，他們也就暴露了痕跡。

但是在大多數(shù)情況下腳本小子不執(zhí)行該步驟，這從趙明反應(yīng)出日志被刪除的事件可以看出來。因此，如果只針對(duì)此次攻擊作分析，我認(rèn)為攻擊者的水平要高一些，或者是存在某些惡意商業(yè)性進(jìn)攻。攻擊者也很有可能在黑客社區(qū)中分享這個(gè)成果，這對(duì)于趙明來說，如果找不出問題的所在，必然要遭到更多的攻擊。

防護(hù)架構(gòu)與代碼漏洞的分析

Web 服務(wù)器面臨許多威脅，大部分威脅與系統(tǒng)中配置的應(yīng)用程序、操作系統(tǒng)和環(huán)境有關(guān)，前面主要是操作系統(tǒng)和應(yīng)用程序，而Web整體環(huán)境沒有進(jìn)行過安全檢測(cè)，一樣也會(huì)成為Web服務(wù)器的“壞鄰居”?；旧希糈w明的黑客擁有了多個(gè)趙明不了解的技術(shù)和條件。例如，黑客可以通過探測(cè)掃描得到企業(yè)網(wǎng)絡(luò)的完整基礎(chǔ)設(shè)施，如下圖。這樣的網(wǎng)絡(luò)結(jié)構(gòu)如果暴露出來，每個(gè)服務(wù)器的弱點(diǎn)都可能被挖掘出來，這樣就可以組織一次時(shí)間長久而又隱蔽的攻擊，并且他的欲望也很強(qiáng)。

針對(duì)趙明網(wǎng)站被篡改的文字內(nèi)容判斷，攻擊者很有可能直接針對(duì)目標(biāo)的弱點(diǎn)（Web服務(wù)器本身并沒有加固號(hào)）乘虛而入，更多的一種情況是通過這個(gè)網(wǎng)絡(luò)中其他系統(tǒng)（負(fù)載均衡服務(wù)器的漏洞，內(nèi)部文件服務(wù)器中的木馬病毒等）實(shí)施攻擊，但是這些系統(tǒng)甚至不知道自己被用作攻擊的工具。至于在這類攻擊中牽涉到多少系統(tǒng)，不但是趙明，我們?nèi)绻麤]有評(píng)估過所有的服務(wù)器，就無法做出肯定的估測(cè)。

假設(shè)，趙明很熟悉服務(wù)器加固的方法，那么最可能入侵到服務(wù)器的攻擊就是程序中不良代碼的漏洞或者（SQL）注入。

結(jié)構(gòu)化查詢語言（SQL）注入是專門針對(duì)數(shù)據(jù)庫的攻擊。在這種攻擊中，攻擊者利用數(shù)據(jù)庫或 Web 頁面的設(shè)計(jì)缺陷從數(shù)據(jù)庫提取信息，甚至操縱數(shù)據(jù)庫的信息。雖然我不能詳細(xì)解釋這種攻擊是如何實(shí)施的，但如果一般了解 SQL 的話，就可以找到相關(guān)的答案。如果趙明還是比較明智的（我看了一些上交的作品，把他分析得一無是處，本人不贊同），因?yàn)樵?Web 服務(wù)器上駐留數(shù)據(jù)庫的話，很可能遭到這樣的攻擊，不過趙明還好，將數(shù)據(jù)庫服務(wù)器分離開來（Web與數(shù)據(jù)庫分離一樣可以被攻破）。

下面的內(nèi)容，是不是替運(yùn)維人員責(zé)任的推脫呢？從開發(fā)角度上看，任何開發(fā)人員都知道，不良的編程習(xí)慣會(huì)帶來問題。不良代碼源于眾多因素，包括培訓(xùn)質(zhì)量差、新手或應(yīng)用程序的質(zhì)量沒有保證。從好的方面講，不良代碼會(huì)給人添麻煩，并且某些特性不能按預(yù)期工作；從壞的方面講，包含不良代碼的應(yīng)用程序就成了最大的安全隱患。

另一個(gè)問題在某種程度上也與不良代碼有關(guān)，尤其是開源系統(tǒng)+開源程序，程序人員在構(gòu)建應(yīng)用程序時(shí)將使用到它們，從而縮短開發(fā)周期。不利的一面是，我們用于構(gòu)建應(yīng)用程序的組件可能不像內(nèi)部代碼那樣經(jīng)過嚴(yán)格的測(cè)試，因此可能會(huì)給應(yīng)用程序帶來隱患。

亡羊補(bǔ)牢的一些建議

下面一些建議，我想從三個(gè)方面對(duì)趙明進(jìn)言：?

◆服務(wù)器自身安全性的問題

何不學(xué)習(xí)一下黑客，也使用漏洞掃描工具，然后對(duì)服務(wù)器進(jìn)行一次徹底的“維修”呢？使用漏洞掃描作為工具，以查找Web服務(wù)器和應(yīng)用程序基礎(chǔ)設(shè)施中存在的問題，比如配置和補(bǔ)丁問題。使用漏洞掃描工具的需要注意的就是它們會(huì)經(jīng)常需要更新，還能發(fā)現(xiàn)你未意識(shí)到的問題，從而允許你在系統(tǒng)被侵入之前修復(fù)它們。

另外，對(duì)于任何一個(gè)服務(wù)級(jí)別的操作系統(tǒng)，都要及時(shí)更新系統(tǒng)。要關(guān)注一下是否發(fā)行補(bǔ)丁、服務(wù)包和更新等有助于系統(tǒng)安全的東西。你可以自動(dòng)收到這些更新，或手動(dòng)下載它們，這取決于您的安全策略，以及Web主機(jī)允許停機(jī)維護(hù)的時(shí)間策略。?

◆架構(gòu)補(bǔ)充與調(diào)整

我曾經(jīng)碰見過好幾家公司將開發(fā)和生產(chǎn)服務(wù)器放在一起，他們?cè)试S開發(fā)團(tuán)隊(duì)使用生產(chǎn)服務(wù)器開發(fā)代碼，或調(diào)試現(xiàn)有代碼。這通常是極端懶惰的結(jié)果就是遭到入侵，一旦攻擊者盯上您正在開發(fā)的代碼，就會(huì)帶來嚴(yán)重的后果。此外，開發(fā)人員在測(cè)試和調(diào)試代碼時(shí)，可能會(huì)損害安全性。為自己做件好事：實(shí)現(xiàn)一個(gè)生產(chǎn)與開發(fā)分離環(huán)境！

利用防火墻分割區(qū)域。這似乎是不言自明的，但仍然需要反復(fù)提醒。對(duì)于Internet來說，這個(gè)一個(gè)充滿邪惡的地方，所以為了避免將Web服務(wù)器暴露在外面，應(yīng)該使用防火墻保護(hù)他們。而很多公司都擁有對(duì)內(nèi)和對(duì)外的各種應(yīng)用程序和服務(wù)器資源，在理想的情況下，這兩塊區(qū)域仍然需要通過“內(nèi)網(wǎng)防火墻”是分開的，并且它們之間的通信要盡可能少。通過以這種方式分開系統(tǒng)，就可以避免（至少降低了風(fēng)險(xiǎn)）攻擊者進(jìn)入Web服務(wù)器，然后訪問數(shù)據(jù)或內(nèi)部系統(tǒng)。因此，使用防火墻和 IDS（入侵診斷系統(tǒng)）/IPS（入侵防御系統(tǒng)）來保證僅允許特定的訪問，阻止不必要暴露的端口和非法的訪問十分有效。

Web 服務(wù)器或 Web 應(yīng)用程序都能夠生成關(guān)于系統(tǒng)活動(dòng)的日志。有了這些記錄之后，趙明需要經(jīng)常查看它以發(fā)現(xiàn)問題，比如應(yīng)用程序失敗或可疑入侵的活動(dòng)，為了防止這些記錄被刪除，我們可以單獨(dú)在架構(gòu)中增加一臺(tái)日志服務(wù)器，增加審計(jì)日志的工具，這就好比從犯罪現(xiàn)場(chǎng)收集的證據(jù)，一旦出現(xiàn)問題，我們甚至可以通過網(wǎng)絡(luò)警察抓到他們。（當(dāng)然，也可以利用蜜罐系統(tǒng)誘捕黑客）

那么所有的負(fù)責(zé)制成 Web 應(yīng)用的各個(gè)層面，都會(huì)使用不同的技術(shù)來確保安全性。例如：為了保護(hù)服務(wù)器的安全，需要安裝防病毒軟件；為了保證用戶數(shù)據(jù)傳輸?shù)狡髽I(yè) Web 服務(wù)器的傳輸安全，通信層通常會(huì)使用 SSL技術(shù)加密數(shù)據(jù)；為了防止用戶密碼泄露，可以使用身份認(rèn)證機(jī)制授權(quán)用戶訪問 Web 應(yīng)用。等等這些都需要配套的安全程序或是產(chǎn)品支撐。?

◆開發(fā)人員培訓(xùn)

這項(xiàng)工作實(shí)施起來可能要困難非常大，因?yàn)镮T運(yùn)維人員和開發(fā)人員的矛盾從來就沒有消除過。但一旦完成，將會(huì)帶來巨大的收益。對(duì)開發(fā)人員進(jìn)行安全代碼實(shí)踐方面的培訓(xùn)能夠消除或減少不良代碼引起的問題。

【.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

當(dāng)前名稱：“拯救網(wǎng)站運(yùn)維經(jīng)理趙明”—紙上談兵與草廬對(duì)策
文章來源：http://m.fisionsoft.com.cn/article/cdcihos.html

新聞中心

其他資訊