如何解决开源Web设备中的安全故障


有些人可能认为,在线安全正在朝着更坏的方向改变。随着Web设备在企业中流行开来,它们也成为黑客的宠儿。

由于越来越多的公司网站运行Drupal等开源设备且运用由WordPress技术支持的企业博客,可能遭受攻击和承受高代价利用的受害者也越来越多。960网格系统和Learning jQuery都费劲地学习过这一课。在这些公司严肃地看待固化开源平台之前,令人尴尬且代价及高的攻击造成了大破坏。其它没有采取适当预前措施来隔绝这些危胁的公司会面临相同的命运。

如果你已经考虑把开源设备作为企业的一部分,我们这里为你列出了一些开源Web设备造成的安全故障并提出了解决方案。

开源Web设备中的常见故障

像你一样,黑客喜欢开源设备免费且容易访问给定“开放”源代码这些优点。举例来说,如果黑客能部署脚本来盗取信息或控制单一硬件上的Web设备,他很容易就能复制这些破坏性的结果来影响用户或分享同一代码库的多个网站。以下是原因:

很多开源设备依赖于容易被利用的老版脚本语言。插入开源设备的模块必须和总项目分开来维持。由于没有修补,这些模块会造成整个设备的问题。

小一些的开源项目通常在长时间都是未修补的状态。这个扩展的窗口让你的文件处于被利用的高度危险中。

黑客创建专门造成设备故障的僵尸程序。当孜孜不倦的“工人”大军日以继夜地尝试着参透密码时,很容易就完成了利用。

锁定管理级特权是让网络盗贼能够轻易危害代码的常见疏忽。XML-RPC之类的程序调用被频繁利用,跨站脚本攻击和SQL注入攻击常给开源平台带来麻烦。

锁定开源Web设备

了解就成功了一半,锁定开源Web设备的策略很多。为了在你的在线业务获得成功并得到终端用户的信任,适当的保护很重要。

让我们用两个公司范例来做背景,讨论一下常见的开源破坏及我们为达更好的保护级别所能做的事情。

当运行Textpattern CMS时,960网格系统经历了危害操作系统的攻击。破坏给这些坏人提供完全的服务器和FTP访问,一旦黑客进入,他们上载了到网站的恶意且令人尴尬的图片,目的是造成不良的搜索引擎优化利益。这类攻击很难发现,因为对公共访客来说,这个网站表面上运行平衡正确。运行开源Web设备时,有大量技巧可以保护960网格系统不受这些问题的危害:

设备固化(包括操作系统和数据库)。操作系统和数据库安装应该仔细完成。避免默认设置并保持严格的许可控制。重命名文件扩展名来掩饰设备类型,并移除所有非必要的功能及特征以关闭尽可能多的虚拟“漏洞”。另外就是补丁、补丁再补丁了。特别是在开源环境中,更新成功防止了危害。相同的规则还应用在脚本语言中,这些语言可能在服务器上运用。服务器固化。移除信息(如应答标题),它们可能帮助僵尸程序或攻击识别服务器上运行着的设备版本及类型。频繁修补并执行服务器日志的人工检查会帮助识别不寻常状况。