ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス 今年3月に世界中のウェブサイトに対するハッカー攻撃を分析したところ、ハッカー攻撃を受けたウェブサイトの大半は中国だった。では、企業や開発会社として、自社のウェブサイトがハッカーに攻撃されるのを防ぐにはどうすればよいのでしょうか。企業ウェブサイトの構築当初から、これらのセキュリティ対策を講じる必要があります。以下の点がしっかり行われていれば、ウェブサイトは比較的安全です。ここで、SINE Security Network の編集者が、Web サイトが攻撃されるのを防ぐセキュリティ保護の実践的な経験についてお話しします。 1. 権限の逸脱: 問題の説明: 異なる管理権限を持つアカウント間で不正アクセスが存在します。 提案された変更: ユーザー権限の認証を改善します。 注意: 異なる権限を持つユーザーは、多くの場合、閲覧、Cookie、ID の変更などにリンクします。 2. 暗号文の送信 問題の説明: システムはユーザーの動的パスワードを適切に保護していません。サイバー攻撃者は攻撃ツールを使用して、正当なユーザーの動的パスワード データをインターネットから盗む可能性があります。 提案された変更: 送信されるログイン パスワードは、解読を防ぐために複数回暗号化する必要があります。 注意: すべてのログイン パスワードは暗号化する必要があります。複雑なデータを暗号化します。または md5 は使用できません。 3. SQLインジェクション: 問題の説明: ネットワーク攻撃者は、SQL インジェクションの脆弱性を利用して、バックエンド システムのログイン パスワードなど、データベース内のさまざまな情報を取得し、データベース内のコンテンツを抽出します (de-database)。 推奨される変更: 入力パラメータをフィルタリングしてチェックします。ブラックリストとホワイトリストの方法を選択します。 注: フィルタリングとキャリブレーションでは、システム内のすべての重要なパラメータをカバーする必要があります。 4. クロスサイトスクリプティング攻撃: 問題の説明: 入力情報の検証を行わないと、攻撃者は適切な方法で悪意のあるコードを Web ページに導入できます。このコードは通常 JavaScript ですが、実際には Java、VBScript、ActiveX、Flash、または通常の HTML も含めることができます。攻撃が成功すると、攻撃者はより高い権限を取得できるようになります。 提案された変更: ユーザー入力をフィルタリングして検証します。 HTML エンティティ行コードを出力します。 注: フィルタリング、校正、HTML エンティティ行の番号付け。すべての主要なパラメータをカバーする必要があります。 5. アップロードファイルシステムの脆弱性: 問題の説明: アップロードされるファイルに制限はなく、実行可能ファイルやスクリプトファイルも送信可能です。これにより、ウェブサイトのサーバーがさらにクラッシュしました。 提案される変更: ファイルのアップロードを厳密に認証し、asp、aspx、asa、php、jsp などの危険なスクリプトの送信を避けます。顧客が違法な文書を提出するのを防ぐために、ファイル ヘッダー認証を追加するのが最善です。 6. バックエンド管理アドレスの詳細漏洩 問題の説明: バックグラウンド管理アドレスが単純すぎるため、ネットワーク攻撃者がバックグラウンド管理を攻撃しやすくなります。 提案された変更: バックエンド管理のアドレス リンクを変更するには、アドレス名が複雑である必要があります。 7. 比較的機密性の高いデータの漏洩: 問題の説明: システムは、Web サイトのパス、Web ページのソース コード、SQL ステートメント、データベースのバージョン番号、プログラム例外などの内部情報を公開します。 提案された変更: ユーザー入力内の異常なスペースをフィルタリングします。カスタム 404、403、500 などの誤った応答をブロックします。 8. コマンド実行システムの脆弱性 問題の説明: スクリプト プログラムは、php の system、exec、shell_exec などを呼び出します。 提案された変更: 脆弱性を修正し、システム内で実行する必要がある命令を厳密に制限します。 9. ファイルディレクトリトラバーサルシステムの脆弱性 問題の説明: プログラミング言語、Webサイトの構造などのディレクトリ情報を公開する 変更の提案: ディレクトリ リストが表示されないように、関連する設定を変更します。 10. アプリケーションリプレイ攻撃 問題の説明: データ ファイルが繰り返し送信されます。 提案された変更: トークン認証を追加します。タイムスタンプまたはこのグラフィック検証コード。 11. CSRF(クロスサイトリクエストフォージェリ) 問題の説明: アプリケーションがユーザーにログインし、知らないうちに何らかの攻撃を実行しました。 提案された変更: トークン認証を追加します。タイムスタンプまたはこのグラフィック検証コード。 12. ランダムファイルのインクルードとランダム圧縮ファイルのダウンロード: 問題の説明: ランダムなファイルの包含、システムに転送されたフォルダー名の有効な検証が行われなかったため、予期しないファイルが操作されました。ダウンロードするファイルを自由に圧縮します。システムはダウンロード機能を提供しますが、ダウンロードフォルダーは制限されません。 変更の提案: 顧客が送信するフォルダー名を制限します。意図的なドキュメントの読み込みや無料ダウンロードは避けてください。 13. 設計上の欠陥/論理的なエラー: 問題の説明: プログラムはロジックを通じて豊富な機能を維持します。多くの場合、論理関数には欠陥があります。たとえば、プログラマーのセキュリティ意識や不完全な配慮などです。 提案された変更: プログラムの設計と推論を改善します。 14. XMLエンティティ行の紹介: 問題の説明: 外部エンティティの導入が許可されると、悪意のあるコンテンツを構築することで、任意のファイルの読み込み、システム コマンドの実行、内部ネットワーク ポートの検出などが可能になります。 提案された変更: プログラミング言語によって提供されるブロッキング外部エンティティ メソッドを使用して、ユーザーが送信した XML データをフィルター処理します。 15. 危険な無関係なサービスやポートを確認する 問題の説明: 危険な無関係なサービスとポートを検出し、ネットワーク攻撃に便利にします。 変更の提案: 不要なサービスとポートをオフにし、初期段階ではポート 80 とデータベース ポートのみを開き、使用時にポート 20 または 21 を開きます。 16. ログインSMS認証コードシステムの脆弱性 問題の説明: 合理的なデータ ファイルを継続的かつ意図的に繰り返しサーバーに送信します。サーバーは、ユーザーが送信したデータ ファイルに対して有効な制限を課しません。 提案された変更: 検証コードはサーバーのバックエンドで更新され、データが送信されるとデータが更新されます。 17. 安全でないクッキー 問題の説明: Cookie にはユーザー名やパスワードなどの機密情報が含まれています。 提案された変更: クッキー内のログイン名とパスワードを削除します。 18. SSL3.0 問題の説明: SSL は、ネットワーク セキュリティとデータベース セキュリティを提供するセキュリティ プロトコルです。 SSl はいくつかのシステムの脆弱性を露呈させます。例えば、心臓血管の血液保持システムの抜け穴など。 変更提案: openssl の最新バージョンにアップグレードする 19. SSRFシステムの脆弱性: 問題の説明: サーバー側のリクエスト偽造。 変更提案: 脆弱性を修正するか、不要なパッケージをアンインストールする 20. 動的パスワードと弱いパスワードがデフォルトで設定されている 問題の説明: 動的パスワードと弱いパスワードのデフォルト設定により、推測が非常に容易になります。 変更提案: 動的パスワードの圧縮強度を改善し、弱いパスワードには適さないものにする 注意: 動的パスワードには、弱いパスワード文字や単純な文字を含めないでください。 21. その他のシステムの脆弱性 問題の説明: その他のシステムの脆弱性 変更提案: 実際のシステムの脆弱性に基づいてセキュリティ保護を分析し、実装する ウェブサイトのセキュリティ保護に関する多くの実践的な経験を共有した後、あなたのウェブサイトが将来も安全かつ安定して稼働すると確信していますか? この期間中にハッカーの攻撃や侵入などの状況がまだある場合は、専門のウェブサイトセキュリティ会社を見つけて、問題に対処して解決することをお勧めします。 元のタイトル: ハッカー攻撃を防ぐためのウェブサイトセキュリティ キーワード: ウェブサイトのセキュリティ保護、ウェブサイトの脆弱性修復 |
<<: ウェブサイト内部の最適化の詳細プロセス(純粋なホワイトハットSEO)
>>: 運用上の注意: プライベート ドメイン トラフィックとは何を意味しますか?プライベート ドメイン トラフィックに関するこれらの誤解に注意してください。
SEO 業界は 2005 年に誕生しました。誕生以来、ますます多くの人々がこの職に就くようになりまし...
この記事では、クラウド移行のためのさまざまなデータ統合アプローチを詳しく説明し、各アプローチの長所と...
Racknerdは昨夜、コロクロスシアトルデータセンターを追加しました。シアトルは米国西海岸に位置し...
digital-vm は、デフォルトで 10Gbps の高帯域幅にアクセスできる VPS サービスを...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービス最近、Bytedance...
ウェブサイトのプロモーションは長期的な作業です。通常の方法で継続的にプロモーションすることによっての...
ここ2か月で、Baiduランキングをブラッシングするビジネスが突然人気を集め、関連するすべての主要な...
VDI ユーザー エクスペリエンスの問題AMDのGPU SRIOVやNvidiaのM60などの直接デ...
コンテナ オーケストレーションに関して言えば、Google が開発したオープン ソース ツールである...
Oracle は業界最大の単一データベースベンダーであり、クラウドコンピューティングとオープンソース...
ほとんどの人にとって、詳細ページは間違いなく商品のコンバージョンにおける重要な要素であり、詳細ページ...
2013 年は企業の Web サイトにとって打撃でした。多くの Web 管理者が、Web サイトのホ...
工業情報化部は昨年以来、電話利用者の実名認証と400のコールセンターのコンプライアンスを規制する取り...
2006 年に設立されたエストニアの企業 Kingservers は、フリーモント (vXchnge...
人工知能(AI)は、新たな産業変革の重要な分野となっています。マッキンゼーが今年6月に発表した報告書...