服務(wù)人工
漏洞檢測(cè)項(xiàng)目所有
優(yōu)勢(shì)服務(wù)好
APP漏洞檢測(cè)支持
服務(wù)地區(qū)全國(guó)
雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升,但是相應(yīng)地,一些網(wǎng)站入侵技術(shù)也會(huì)不斷地升級(jí)、進(jìn)化。如何建設(shè)網(wǎng)站,因此,企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候,一定不可以輕視網(wǎng)站安全這一塊,建議企業(yè)周期性、長(zhǎng)期性地用一些基本方法來(lái)檢測(cè)企業(yè)網(wǎng)站的安全性,確保網(wǎng)站順利、正常地運(yùn)營(yíng)下去。
修改后臺(tái)初始密碼
每個(gè)都有一個(gè)后臺(tái)賬戶,用于日常的維護(hù)更新,而很多后臺(tái)初始密碼都過(guò)于簡(jiǎn)單,在拿到后臺(tái)管理賬號(hào)密碼時(shí),要先把初始密碼修改掉,帳號(hào)密碼要有一定的復(fù)雜度,不要使用域名、年份、姓名、純數(shù)字等元素,要知道密碼越好記也就意味著越容易被攻破。
獲取SSL證書
如果您計(jì)劃在Web服務(wù)器上傳輸任何敏感用戶數(shù)據(jù),則必須使用安接字層(SSL)證書。SSL是一種在瀏覽器級(jí)別發(fā)生的加密協(xié)議,可確保所有傳入和傳出的Web請(qǐng)求都被外部人員屏蔽。作為所有者,您有責(zé)任從機(jī)構(gòu)獲取有效的SSL證書并使其保持新。使用您的域名配置后,用戶將在瀏覽器中看到URL旁邊的掛鎖符號(hào),這是安全的通用指標(biāo)。
使用CDN加速
盡管近年來(lái)全球互聯(lián)網(wǎng)速度越來(lái)越快,連接不同地域時(shí)仍會(huì)遇到延遲,一種流行的解決方案是采用CDN加速。CDN提供商在不同區(qū)域維護(hù)一組服務(wù)器用于緩存內(nèi)容的某些部分,以提高加載速度并實(shí)現(xiàn)大規(guī)模流量的負(fù)載均衡,降低DDoS攻擊損害。
這在目前的互聯(lián)網(wǎng)環(huán)境下,很容易出現(xiàn)安全問(wèn)題,比如被攻擊、被掛馬、被用戶數(shù)據(jù)等等,尤其是本身在代碼安全層面做的并不好的情況下,這種事件就更容易發(fā)生,再加上,這些中小企業(yè)普遍缺乏網(wǎng)絡(luò)安全投資和必要防護(hù)手段,抗擊打能力比較弱,一旦遭到網(wǎng)絡(luò)攻擊,蒙受巨大經(jīng)濟(jì)損失后將很難恢復(fù)元?dú)狻?br/>
早上,我突然被客戶告知,他部署在云平臺(tái)的服務(wù)器被檢測(cè)到webshell,已經(jīng)查殺了,而且云平臺(tái)檢測(cè)到這個(gè)ip是屬于我公司的,以為是我們公司做了測(cè)試導(dǎo)致的,問(wèn)我這個(gè)怎么上傳的webshell,我當(dāng)時(shí)也是一臉懵逼,我記得很清楚這是我的項(xiàng)目,是我親自測(cè)試的,上傳點(diǎn)不會(huì)有遺漏的,然后開(kāi)始了我的排查隱患工作。
巡檢查殺首先,我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的,我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺,進(jìn)行巡檢,找找看是否被別人入侵了,是否存在后門等等情況。雖然報(bào)的是我們公司的ip,萬(wàn)一漏掉了幾個(gè)webshell,被別人上傳成功了沒(méi)檢測(cè)出來(lái),那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器,上傳這個(gè)webshell查殺工具進(jìn)行查殺,使用netstat-anpt和iptables-L判斷是否存在后門建立,查看是否有程序占用CPU,等等,此處不詳細(xì)展開(kāi)了。萬(wàn)幸的是服務(wù)器沒(méi)有被入侵,然后我開(kāi)始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先,我向這個(gè)和我對(duì)接的研發(fā)人員咨詢這個(gè)服務(wù)器對(duì)外開(kāi)放的,要了之后打開(kāi)發(fā)現(xiàn),眼熟的不就是前不久自己測(cè)試的嗎?此時(shí),我感覺(jué)有點(diǎn)懵逼,和開(kāi)發(fā)人員對(duì)質(zhì)起這個(gè)整改信息,上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制,只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn),這個(gè)雖然上傳是做了白名單限制,也對(duì)上傳的文檔名做了隨機(jī)數(shù),還匹配了時(shí)間規(guī)則,但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名,這個(gè)和他提議要進(jìn)行整改,不然這個(gè)會(huì)造成這個(gè)文檔包含漏洞,他和我反饋這個(gè)確實(shí)進(jìn)行整改了,沒(méi)有返回這個(gè)路徑了。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞,對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.66bta.com
