有些人可能认为,在线安全正在朝着更坏的方向改变。随着Web设备在企业中流行开来,它们也成为黑客的宠儿。
由于越来越多的公司网站运行Drupal等开源设备且运用由WordPress技术支持的企业博客,可能遭受攻击和承受高代价利用的受害者也越来越多。960网格系统和Learning jQuery都费劲地学习过这一课。在这些公司严肃地看待固化开源平台之前,令人尴尬且代价及高的攻击造成了大破坏。其它没有采取适当预前措施来隔绝这些危胁的公司会面临相同的命运。
如果你已经考虑把开源设备作为企业的一部分,我们这里为你列出了一些开源Web设备造成的安全故障并提出了解决方案。
开源Web设备中的常见故障
像你一样,黑客喜欢开源设备免费且容易访问给定“开放”源代码这些优点。举例来说,如果黑客能部署脚本来盗取信息或控制单一硬件上的Web设备,他很容易就能复制这些破坏性的结果来影响用户或分享同一代码库的多个网站。以下是原因:
很多开源设备依赖于容易被利用的老版脚本语言。插入开源设备的模块必须和总项目分开来维持。由于没有修补,这些模块会造成整个设备的问题。
小一些的开源项目通常在长时间都是未修补的状态。这个扩展的窗口让你的文件处于被利用的高度危险中。
黑客创建专门造成设备故障的僵尸程序。当孜孜不倦的“工人”大军日以继夜地尝试着参透密码时,很容易就完成了利用。
锁定管理级特权是让网络盗贼能够轻易危害代码的常见疏忽。XML-RPC之类的程序调用被频繁利用,跨站脚本攻击和SQL注入攻击常给开源平台带来麻烦。
锁定开源Web设备
了解就成功了一半,锁定开源Web设备的策略很多。为了在你的在线业务获得成功并得到终端用户的信任,适当的保护很重要。
让我们用两个公司范例来做背景,讨论一下常见的开源破坏及我们为达更好的保护级别所能做的事情。
当运行Textpattern CMS时,960网格系统经历了危害操作系统的攻击。破坏给这些坏人提供完全的服务器和FTP访问,一旦黑客进入,他们上载了到网站的恶意且令人尴尬的图片,目的是造成不良的搜索引擎优化利益。这类攻击很难发现,因为对公共访客来说,这个网站表面上运行平衡正确。运行开源Web设备时,有大量技巧可以保护960网格系统不受这些问题的危害:
设备固化(包括操作系统和数据库)。操作系统和数据库安装应该仔细完成。避免默认设置并保持严格的许可控制。重命名文件扩展名来掩饰设备类型,并移除所有非必要的功能及特征以关闭尽可能多的虚拟“漏洞”。另外就是补丁、补丁再补丁了。特别是在开源环境中,更新成功防止了危害。相同的规则还应用在脚本语言中,这些语言可能在服务器上运用。服务器固化。移除信息(如应答标题),它们可能帮助僵尸程序或攻击识别服务器上运行着的设备版本及类型。频繁修补并执行服务器日志的人工检查会帮助识别不寻常状况。
强有力的密码和访问控制。使用包含数字、大小写字母和特殊字符的密码,千万不要用字典术语。此外,有规律地重置它们。控制到管理密码的访问并只根据需求授予数据库证书。决不要使用数据库用户的SA或根帐户,限制所有公共及端口访问来设置管理员区域,并禁止向除了80/443之外的的任何端口开放服务器,这些在各自通过HTTP/HTTPS传递网页时都很需要。
系统日志监控。密切关注你的系统日志并确保没有成功的非法登录情况。运行故障审计并有规律地(最少一季一次)浏览你的设备来迅速地帮助识别威胁、破坏和可疑活动。
Learning jQuery是FireHost的一位客户,它经历了一次完全不同类型的攻击:SQL注入攻击,这种攻击利用WordPress数据库层的开源安全故障。WordPress和其它内容管理系统(CMS)供应商一直在为领先于SQL注入故障不懈努力,它们通过修补来前瞻性地确定故障。不幸的是,Learning jQuery的网站是这个问题的早期受害者。
周期性地,当CMS供应商还在努力保持领先位置时黑客也在创新和适应。Web设备防火墙(WAF)帮助缩小黑客创新和CMS供应商修补程序之间的差距。WAF在它能得到代码并阻止可疑访客获取服务之前检查Web流量。当WAF与入侵防护、侦测系统和其它网络级屏障协作时,阻止攻击的能力以指数方式增长。如果这类网络层防护已经在适当的位置,Learning jQuery的网站也许不会遭受恶意攻击的猛攻。
避免开源Web设备破坏
开源内容管理系统的增长和普及改变了安全形势并让这个过程更危险。但是有些开发者或技术工程师已经有确保Web设备(及它们的托管环境)安全的经验,有了他们的帮助,你就能实施这些方法并阻止网络盗贼的入侵。有适当的预防措施、注意细节且保证维持开源网站,公司的开源Web设备运用一定会成功且卓有成效。