运维工程师手把手教你提高网站的安全性
一、一个完善的网站结构
在很多用户的视角里搭建网站只有一个需求,就是一台云服务器让后将我们的网站源码放到目录下解析一下域名就完成了。其实这个需求从根本上讲是没有问题的,但是这只能算是搭建了网站并没有做到安全防护,这样的结构实际上危险丛生。
一个好的网站结构应该包括:防火墙-日志审计-数据库审计-流量清洗等业务功能,最后才是我们的云服务器。可是我们只需要建造网站很多时候并不具备提供完整结构的能力。这就导致我们的业务站点暴露在更多的危险之中。
二、网站常见威胁
1. 网络钓鱼
顾名思义攻击者通过伪造公司高层通知、银行或其他机构的邮件意图引导用户使用受攻击业务的账号密码登录恶意网站从而记录用户账户数据或者欺骗用户安装黑客精心制作的攻击程式对用户电脑进行权限控制。
2. 0day攻击
所谓的0day指的是当前除攻击者外无人知晓的漏洞,也指当前在网络安全界没有补丁的漏洞。
3. 常见通用漏洞
我们目前常见的通用漏洞有:
(1)SQL注入
一种代码注入技术,主要攻击数据驱动的应用程序。被攻击后黑客可以获取当前数据库数据,或者直接命令执行。
(2)XSS
获取用户身份认证cookie信息。
(3)命令执行
非法直接执行恶意命令在服务器上。
(4)敏感信息泄露
用户数据、员工信息、网站配置等信息因为配置不当造成直接暴露在外。
(5)任意文件操作(读取/上传/下载)
非法对任意文件进行操作。
(6)弱口令
密码简单导致容易被攻击者猜解。
(7)逻辑漏洞等。
此处列举两个常见通用漏洞存在并触发漏洞的情况图片:
图 1 XSS漏洞导致的弹窗
看上去好像就是一个普通的通知弹窗,但是实际上它在专业安全人员手中可以获取到用户登陆用的身份认证信息,恶意引导用户跳转攻击网站甚至命令执行。但是并不是所有的弹窗都是漏洞导致的!
图 2 文件读取漏洞
存在这个漏洞的话,攻击者精心构造了攻击payload语句则可如图中所示获取到系统上的敏感文件内容。
4. DDOS/CC攻击
分布式拒绝服务攻击,CC攻击是属于DDOS攻击的一种类型。
DDOS攻击者利用已经控制的多个攻击源同时向一台主机或网络发起DOS阻塞攻击。
CC则是使用代理服务器向受害服务器发送大量貌似合法的请求让服务器处理造成服务器资源耗尽或宕机。
三、一些建议
鉴于以上两个内容我们大致对健壮的网站结构和常见WEB(网站)漏洞都有了一定的了解。但是也看得出其中难点:1)一般企业没有能力构建健壮的网站结构;2)漏洞复杂类型多需要完整防御难。我们接下来就一个点一个点和广大用户解析应该如何解决这些问题。
1)直接使用云厂商提供的安全架构完善的云服务器
在我们自己没有能力没有设备去完完整整建设一个属于我们的健壮网站结构时,直接选择云厂商提供的云主机就成了免费领取一个健壮网站结构的好去处。这个时候我们只需要购买相应的服务对比每年自己花大几十万去从头建设快捷很多。正规靠谱的云厂商他都有完整的网站结构,开始提到的防火墙、日志审计等功能都是完善的。
建设网站首先要选择云服务器,给大家推荐蓝队云。蓝队云云计算平台安全架构完善,有安全监测、流量监控、抗DDOS等等功能,最底层的安全架构都已经给你搭好了。蓝队云是十多年的老牌云计算服务商,已经服务全国10W+用户,像云南白药、九机网、薇诺娜等知名企业都在使用我们的云服务器。蓝队云还是国家互联网应急中心(CNCERT)网络安全应急服务支撑单位,在2021年被聘选为联合国《生物多样性公约》第十五次缔约方大会(COP15)网络安全保卫组特聘技术支撑单位,2022年获颁第一届云南省网络安全应急技术服务支撑单位,网络安全能力有保障。
蓝队云 - 领先的云服务器、服务器租用托管、域名注册提供商https://www.landui.com/?zhihu0&refresh=1
2)选择好云主机后漏洞该如何防御
类似于通用的漏洞包括DDOS,直接选择目前市面上的安全软件都是可以的。网站防护就在服务器上安装:D盾、安全狗网站版、创宇盾、云锁等软件即可。
服务器本身的防护就安装:安全狗服务器版、火绒、360都是可以的。
当然了选择一款安全性高(漏洞少且难以利用、当前没有已知漏洞)的网站源码(cms系统)也是可以再很大程度保证安全的,比如:Thinkphp-5.0.24、
拓尔思最新版等等都是可以的,尽量也保证下载当前最新的版本即可。
运维工程师手把手教你提高网站的安全性相关推荐
- 五阿哥钢铁电商资深运维工程师手把手教你这样玩企业组网
虽说干的是信息化智能化的行当,但每个IT工程师都必定踩过"IT系统不智能"的坑.就拿企业组建局域网来说,为了对网络接入用户身份进行确认,确保用户权限不受办公地点变更的影响,许多IT ...
- 要成为linux网站运维工程师必须要掌握的技能
我是一名linux运维工程师,确切的说是网站运维工程师,从事linux工作有2年多了,对这方面有一些体会,给新手一点借鉴: 首先说下运维种类:有办公网系统运维(就是网管),有IDC外网运维,外网运维里 ...
- 两年制大专计算机网络技术,4G网络技术与运维工程师专业(两年制专科).doc
4G网络技术与运维工程师专业(两年制专科).doc 2017年秋季 4G网络技术与运维工程师 院校教学审批意见: 负责人签字: 日期: 4G网络技术与运维工程师课程列表 序号课程学段课程名称1第一学期 ...
- Linux运维工程师岗位前景及学习路线
Linux运维工程师岗位前景及学习路线 1.1 什么是Linux? 大家日常使用电脑听歌.打游戏娱乐或处理日常工作时,接触到最多的就是Windows操作系统,电脑如果不安装Windows系统是无法进行 ...
- 猿创征文 | Linux运维工程师的10个日常使用工具分享
猿创征文 | Linux运维工程师的10个日常使用工具分享 一.本次分享工具导航 二.Adminer数据库管理工具 1.Adminer介绍 2.Adminer的特点 3.Adminer的使用 4.Ad ...
- 运维工程师的主要职责是什么
运维工程师的主要职责是维护和管理计算机系统和网络的运行.这包括安装.配置.升级.维护和监控系统软件和硬件.运维工程师还负责诊断和解决系统故障,以及制定和执行灾难恢复计划.此外,运维工程师还负责管理系统 ...
- 大型网站运维工程师的职责和前景
运维中关键技术点解剖: 1 大量高并发网站的设计方案 ; 2 高可靠.高可伸缩性网络架构设计; 3 网站安全问题,如何避免被黑? 4 南北互联问题,动态CDN解决方案; 5 海量数据存储架构 一.什么 ...
- 转载:百度 新浪门户网站运维工程师
转帖地址:http://linuxblog.com.cn/viewthread.php?tid=221 对于网站运维,感觉大家还是比较迷惘与不解,确实,这是一个新兴岗位:近来闲而无事,在此结合自已以往 ...
- 运维工程师打怪升级进阶之路 V2.0
很多读者伙伴们反应总结的很系统.很全面,无论是0基础初学者,还是有基础的入门者,或者是有经验的职场运维工程师们,都反馈此系列文章非常不错! 命名:<运维工程师打怪升级之路> 版本:V1.0 ...
最新文章
- EXCEL中数据的自动匹配主要包含的内容
- caffe学习系列(1):图像数据转换成db(leveldb/lmdb)文件
- 目标检测(Object Detection)综述--R-CNN/Fast R-CNN/Faster R-CNN/YOLO/SSD
- 使用.NET Standard 2的Elasticsearch,Kibana和Docker
- ETL PostgreSQL in Oracle ODI 12c
- 百面机器学习!算法工程师面试宝典!| 码书
- java实现数据结构-堆排序
- 基于guava的重试组件Guava-Retryer
- ActiveReports 9 新功能:创新的报表分层设计理念
- matlab3维b样条曲线_MATLAB-3次B样条
- python返回索引值_python取索引值
- 日常生活中使用计算机要注意事项有哪些,笔记本电脑日常使用注意事项以及保养技巧...
- linux系统安装flash
- 华为鸿蒙系统操作教程_华为鸿蒙系统2.0怎么安装 鸿蒙系统2.0安装教程[多图]
- CPU核数和线程数有什么作用?CPU核数和线程的关系与区别,服务器CPU与电脑主机CPU的区别
- spool off参数详解
- SC系列(SC-12S)低频率小型SMD石英晶振SC-12S32.768KHZ12.5PF/20PPM
- 复合类型(compound type)
- 基于采样的规划算法之动态窗口法(DWA)
- 一名优秀的合格的架构师,应该具备什么样的特质?