服務(wù)人工
漏洞檢測項(xiàng)目所有
優(yōu)勢服務(wù)好
APP漏洞檢測支持
服務(wù)地區(qū)全國
雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升,但是相應(yīng)地,一些網(wǎng)站入侵技術(shù)也會不斷地升級、進(jìn)化。如何建設(shè)網(wǎng)站,因此,企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候,一定不可以輕視網(wǎng)站安全這一塊,建議企業(yè)周期性、長期性地用一些基本方法來檢測企業(yè)網(wǎng)站的安全性,確保網(wǎng)站順利、正常地運(yùn)營下去。
修改后臺初始密碼
每個(gè)都有一個(gè)后臺賬戶,用于日常的維護(hù)更新,而很多后臺初始密碼都過于簡單,在拿到后臺管理賬號密碼時(shí),要先把初始密碼修改掉,帳號密碼要有一定的復(fù)雜度,不要使用域名、年份、姓名、純數(shù)字等元素,要知道密碼越好記也就意味著越容易被攻破。
獲取SSL證書
如果您計(jì)劃在Web服務(wù)器上傳輸任何敏感用戶數(shù)據(jù),則必須使用安接字層(SSL)證書。SSL是一種在瀏覽器級別發(fā)生的加密協(xié)議,可確保所有傳入和傳出的Web請求都被外部人員屏蔽。作為所有者,您有責(zé)任從機(jī)構(gòu)獲取有效的SSL證書并使其保持新。使用您的域名配置后,用戶將在瀏覽器中看到URL旁邊的掛鎖符號,這是安全的通用指標(biāo)。
使用CDN加速
盡管近年來全球互聯(lián)網(wǎng)速度越來越快,連接不同地域時(shí)仍會遇到延遲,一種流行的解決方案是采用CDN加速。CDN提供商在不同區(qū)域維護(hù)一組服務(wù)器用于緩存內(nèi)容的某些部分,以提高加載速度并實(shí)現(xiàn)大規(guī)模流量的負(fù)載均衡,降低DDoS攻擊損害。
這在目前的互聯(lián)網(wǎng)環(huán)境下,很容易出現(xiàn)安全問題,比如被攻擊、被掛馬、被用戶數(shù)據(jù)等等,尤其是本身在代碼安全層面做的并不好的情況下,這種事件就更容易發(fā)生,再加上,這些中小企業(yè)普遍缺乏網(wǎng)絡(luò)安全投資和必要防護(hù)手段,抗擊打能力比較弱,一旦遭到網(wǎng)絡(luò)攻擊,蒙受巨大經(jīng)濟(jì)損失后將很難恢復(fù)元?dú)狻?br/>
早上,我突然被客戶告知,他部署在云平臺的服務(wù)器被檢測到webshell,已經(jīng)查殺了,而且云平臺檢測到這個(gè)ip是屬于我公司的,以為是我們公司做了測試導(dǎo)致的,問我這個(gè)怎么上傳的webshell,我當(dāng)時(shí)也是一臉懵逼,我記得很清楚這是我的項(xiàng)目,是我親自測試的,上傳點(diǎn)不會有遺漏的,然后開始了我的排查隱患工作。
巡檢查殺首先,我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的,我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺,進(jìn)行巡檢,找找看是否被別人入侵了,是否存在后門等等情況。雖然報(bào)的是我們公司的ip,萬一漏掉了幾個(gè)webshell,被別人上傳成功了沒檢測出來,那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器,上傳這個(gè)webshell查殺工具進(jìn)行查殺,使用netstat-anpt和iptables-L判斷是否存在后門建立,查看是否有程序占用CPU,等等,此處不詳細(xì)展開了。萬幸的是服務(wù)器沒有被入侵,然后我開始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先,我向這個(gè)和我對接的研發(fā)人員咨詢這個(gè)服務(wù)器對外開放的,要了之后打開發(fā)現(xiàn),眼熟的不就是前不久自己測試的嗎?此時(shí),我感覺有點(diǎn)懵逼,和開發(fā)人員對質(zhì)起這個(gè)整改信息,上次測試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制,只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn),這個(gè)雖然上傳是做了白名單限制,也對上傳的文檔名做了隨機(jī)數(shù),還匹配了時(shí)間規(guī)則,但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名,這個(gè)和他提議要進(jìn)行整改,不然這個(gè)會造成這個(gè)文檔包含漏洞,他和我反饋這個(gè)確實(shí)進(jìn)行整改了,沒有返回這個(gè)路徑了。
SINE安全網(wǎng)站漏洞檢測時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞,對各項(xiàng)功能都進(jìn)行了全面的安全檢測。
http://www.58seesohu.com
