Category Archive: 网站安全

十一月 25th, 2019

在维持在线状态方面,安全并非我们一直考虑到的问题,但是如今绝对值得考虑。网站黑客和网络攻击一直在发生,而几乎所有这些都是可以预防的。

本文将介绍如何保护网站安全,并且无需雇用安全专家来做到这一点。有一些可遵循的基本步骤操作,这有助于使网站更加安全,被成功攻击的可能性也大大降低。

本文将从基础知识开始,然后逐步发展到更高级的安全措施,但是所有这些步骤都很容易实现。

制作网站审核清单

每当执行一项艰巨的任务时,制作清单都是一个好主意,确保网站安全的任务也不例外。本文中的每条建议都是网站安全检查表中的一项。创建清单之后,每次在网站上执行安全审核时,该清单都可以作为指南。

不必在每次评估网站安全性时都进行深入审核,但是建议网站第一次审核时要做得尽可能彻底。

接下来一起看一看网站安全审核清单中应该包括哪些内容。

从一些基本的CMS设置开始

内容管理系统(CMS)是网站的心脏。通过其登录门户,可以对网站进行任何操作,包括发布和删除内容以及使网站脱机。肯定不希望未经授权的用户在这里登录,因此这是开始实施安全措施的合理位置。

以下是首先需要检查的一些最重要的事情。

用户设置:这是一个很重要的问题。如果在CMS平台上启用了不需要的用户,最好禁用他们。如果存在任何默认用户名(例如管理员账户),必须确保更改了默认密码。

除了设置一个高强度密码之外,最好将管理员账户的用户名更改为容易记住的用户名,例如自己名字的变体,这很难猜测。这样,默认登录名将变得无用,并且管理员用户名和密码都将难以被黑客猜到。

评论设置:需要注意网站正在处理的用户输入。建议不要让匿名用户访问网站上的评论,因为对自己的行为不负责任的人发布的评论通常少于恭维的评论。Bot(网上机器人)是另一个问题,因为黑客借助于Bot可使评论部分垃圾泛滥。

信息的一般可见性:不应该公开网站后端的任何信息。攻击者会尝试探测所安装的程序,以找到可用来攻击站点的媒介和工具。

甚至知道正运行的软件和插件的版本,也可以为攻击者提供帮助。一般的经验是,不要让任何人看到除了提供给用户的内容以外的任何内容。

输入验证:网站上任何接受用户输入的地方都需要进行像样的输入验证。即过滤或禁止输入特定字符和键入的任何内容。SQL(结构查询语言)注入攻击可以通过添加特殊字符的方式来欺骗系统以执行SQL查询。

这样会欺骗网站运行自认为经过验证的用户的查询。更新CMS通常会阻止这种攻击,但是,如果使用任何自定义的网络应用程序或插件,则需要了解当前的每个安全隐患。

查看权限是如何定义的

仔细管理网站的文件和文件夹权限对网站安全至关重要。每当需要更新网站上的内容时,网络服务器都会验证尝试进行更改的用户访问权限。如果该用户具有访问和相关的权限,则可以进行更改。这就是前面所提到的用户设置如此重要的原因。运行用户权限审核时,可以设置文件访问权限,用户访问权限等。

需要注意的主要权限设置为:

用户权限:CMS中设置的每个用户都需要具有特定的属性和权限。在信息安全领域,有一种原则被称为“最小特权”,它对于这类设置特别有用。

普通用户只能访问网站上能增强其体验的内容,这很有意义,因为该网站是为他们准备的。只有授权用户才有权进行任何更改。

所有者,组或公共:管理用户意味着需要对他们进行分类并将其纳入适当的组中。为每个组提供不同的访问级别。所有者具有网站内容的读写权限,这意味着他们可以随意创建和删除文件。公共访问通常被锁定,并且只允许读取。

读取,写入或执行:这些是文件权限,它们决定文件是否可以被打开、读取或更改。如果用户具有执行权限,则他们能够安装应用程序和插件。普通用户不应该具有此级别的访问。

遵循CMS实践

如果要管理自己的网站,则应该熟悉特定的CMS实践。每个CMS(例如WordPress或Joomla)都会在其网站上列出发行说明和建议,因此请务必定期检查。

以下是一些常识性项目,但可能没有意识到要检查它们。可将这些项目添加到清单中,有助于确保CMS已锁定并安全。

确保CMS已更新:这听起来相当简单,尤其是因为大多数CMS安装会在有可用更新时给出通知。但是,并非每个人都将CMS更新的安装分配为最高优先级,因此,实时的网站可能会在后端运行过时的CMS。

升级CMS可能引发对插件和应用程序兼容性的担忧,这就是为什么更新任务经常被推迟,但这不是让CMS过时的充分理由。

确保插件已更新:如果插件开发人员在其最新更新中标识了与网站安全相关的任何修补程序,则需要尽快更新这些插件。

安装一些安全性插件:很多很棒的插件都有助于保护网站。从入侵检测到用于处理安全监视和警报的工具,一切都可以安装在网站上,这些东西可以使它变得更加安全。

创建一个测试环境:如果不太确定新的更新,最好先进行测试。备份网站,并将其还原到本地PC上。然后,就可以测试网站的所有功能,而不会中断网站的使用。如果更新后的一切都没有问题,则可以继续将更新应用于实时的网站。

每次重大变更之前备份网站:如果在安全审核过程中需要更新网站的任何关键元素,确保在此过程中的每一步都创建了网站的备份。这样以后发现任何奇怪的行为,至少拥有网站更新之前每个状态的完整备份。

想想“ACB”——始终创建备份!

如果说有任何可以料想到的事情,那会是忘记备份的时候就是需要从头构建的时候。通过经常备份数据来避免这种情况是明智的。

有多种方式可用来备份网站以及支持网站正常运行所需的支撑数据库和文件。在制定定期备份网站的计划时,以下是需考虑的最重要因素。

具有多种备份位置和方法:如果进行了备份但没从网络服务器中下载备份,则当该网络服务器发生故障,就会无法恢复网站。使用大型提供商时,虽然它们可能具有用以保护网站的冗余和大规模灾难恢复功能,但是问题确实会发生。地震、洪涝、风暴和其他自然灾害有可能破坏基础设施和数据中心。

确保将备份保存在其它安全的地方,例如CD或闪存驱动器之类的物理介质。云提供商也提供了一个安全的位置来存储数据,但是同样,总有可能中断导致无法访问云服务。

自动执行和计划备份:没有人愿意执行备份,因为这很麻烦。幸运的是,可以通过多种方式来设置自动备份。可以直接将一些商业产品和插件安装到CMS中,或者如果有相应的时间和技能,还可以编写自己的脚本。

为失败做准备:

任何成功的信息安全策略的关键是,认为似乎不仅可能发生负面事件,而且可以肯定。以这种方式思考,能为任何可能发生的事情做好计划。如果认为数据库可能会损坏,就备份它。如果认为CMS可能无法使用,就了解如何解锁账户。请记住在IT(信息科技)行业中,任何可能出错的地方都会出错。

定期测试备份:将备份还原到本地计算机的测试机上是一种好习惯,尤其是在更新CMS或网络服务器之前和之后。需要担心的最后一件事是备份崩溃或损坏时,阻止站点启动和重新运行。想了解更多的相关内容可以阅读虚拟主机上怎样对网站进行备份

更多安全清单项目

本文可继续讨论有关网站安全性的更多方面,但主要还是关注基础知识。在离开本文之前,以下是一些可能需要添加到安全审核工作清单中的项目。

禁用目录浏览:默认情况下是禁用的,但是有些事情会导致目录浏览被激活。定期将其放在检查清单中,以防更新时意外激活了该功能。根本不需要任何好奇的用户浏览网络服务器的文件结构。

禁用图像热链接:同样,大多数现代CMS程序包都会默认阻止此行为,但不时检查它以确保热链接未被启用也没有什么害处。图像热链接会吞噬网站宝贵的带宽和系统资源,因为这是在承担他人链接托管的开销。

安装SSL证书:在2019年,所有公共互联网通信都需要加密已成为必需。为了适当地屏蔽进出网站的数据,需要在网站上加载并注册SSL证书。大多数现代浏览器都会向访问者发送令人讨厌的有关网站缺少证书的消息,该证书能将此类消息赶走,因此应该考虑使用SSL。

使用密码的最佳做法:意图非法获得网站访问权限的攻击者将使用许多不同的攻击方法。如果他们设法访问某些系统信息,则他们可以对保存的哈希密码进行基于哈希的高级攻击。如果未设置最大登录限制,则黑客可以采用自动字典攻击或蛮力攻击。除了安全性插件之外,还应该对主要的管理员登录(实际上,对所有用户账户)使用双重身份验证。

使用SSH或安全文件传输协议(FTP):很多人没有意识到FTP是未加密的,因此,如果可以选择不使用FTP,那就不要使用。

安全审核是一项持续的任务,需要成为网站常规维护的一部分。记住,后续审核不必像初次审核那样彻底。审核清单是一个动态文档,应根据安全要求而变化。更多的相关内容可以阅读网站安全对网站SEO优化有哪些影响

十一月 6th, 2019

如果网站需要收集任何个人信息,如姓名、电子邮件地址等,或第三方应用程序,包括用于电子商务的应用程序,法律都要求制定隐私政策。而且,如果网站被发现违反了这项法律,谷歌和其他搜索引擎将会剥夺其排名,让网站无法出现在访客面前。分析公司需要它,信用卡公司需要它,社交媒体插件,几乎能想象的每个插件都需要它,所以忽略此项政策会让网站所有者寸步难行。

既然知道这是必须的,怎么制定呢?下面就让HostEase美国主机商来告诉你们吧。

隐私策略是一种让客户知道网站正在收集的数据类型以及将如何处理这些数据的条款。其内容包括:

  • 所收集信息的类型
  • 收集的目的
  • 如何使用数据
  • 存储数据的位置、安全系数如何以及该数据的访问权限
  • 一种让客户获得个人数据副本及是否同意网站收集的方法
  • 数据传输的详细信息
  • 所有附属网站或组织(包括通过网站或应用程序收集数据的第三方应用程序和插件)
  • 在站点上使用cookies

信息类型

收集的信息类型必须在隐私策略中详细列出。这包括姓名、电子邮件地址、信用卡信息(用于电子商务)及其他个人数据。

收集数据的目的

这就是解释保留信用卡信息的平台。处理和运输的“订单”、账户维护、客户服务、约定等都是收集数据的正当理由。

如何使用数据

网站所有者必须解释数据的用途。用户体验的个性化和定制、发送服务或支持消息、提供客户服务、允许访问服务等都是完美的例子。

存储、安全和访问

如果使用第三方工具,比如谷歌分析或者AdSense,需要事先声明,这样受众就知道还有谁能得到他们的信息。所有第三方数据共享的实例,应该包括指向那些第三方公司策略的链接。

选择退出选项

法律要求为正在进行的数据收集提供选择退出选项。如前所述,用户有权查看收集的有关他们的信息。法律允许他们获得这些信息。确保网站上的联系信息准确清晰。

附属第三方网站或组织

电子邮件服务提供商、社会媒体交互、谷歌分析、Google Adsense以及许多跟踪用户浏览行为的第三方服务都需要添加隐私策略。必须公开所有第三方数据采集器的详细信息。如前所述,必须按名称列出第三方组织,并列出他们收集的数据以及其用途。

总结

制定隐私政策,可以省去很多麻烦。如果想了解更多关于制定隐私政策的信息,Better Business Bureau会提供一个样本,联邦贸易委员会(FTC)会对隐私和安全进行细分,以保持网站的合法性。如果遵循他们的标准,就不会出错。同时HostEase提供了专门为WordPress网站设计的超高速托管,让网站运行得非常顺利。

十月 21st, 2019

如今网络安全越来越受到人们重视,欺诈手段也不断更新,使用得最多的方式还是网络钓鱼。通过巧妙的诱骗使个人或企业泄露敏感信息,有时甚至防不胜防。下面hostease美国主机小编就为大家介绍四种常见的网络欺诈手段。

一、虚假邮件

有时我们会收到一封看起来很正式的邮件,地址与官方账号很相像,不仔细辨认很难区分。这封邮件可能说:你的账号正在被人登录,请及时修改密码,或点击链接进行安全确认等。

如果用户点击了链接跳转到指定页面,很可能会看见账号的登录页面,但这个页面是虚假的,只是很难分辨出。但用这个页面登入了账号,那么,你的密码很可能已经泄露。

二、第三方内容注入

当使用公共wifi上网时,是否发现当时访问的网站出现了额外的广告或弹窗?而这些广告在平时是没有的。

这是因为有人通过攻击公共wifi,可以将自己的内容注入到这个网站,如果用户进行点击,很可能会上当受骗或泄露某些信息。

三、窃取

链接与链接之间,信息与信息的传输,都是攻击者能够窃取信息的时机,如果网站没有安全证书,电脑没有安全软件,那么某些不知名的链接最好不要轻易点击,否则你发送到网络上的东西很可能被拦截和窃取。

四、低价

一封邮件告诉你,你想要的商品正在低价促销,价格低到令人难以置信,可能大部分人能抵御诱惑,明白这是一个骗局,但还是有部分人会点击链接或直接进行购买。

欺诈者正是通过用户喜爱低价的心理,诱导点击链接或购买虚假产品,这是需要注意的。想知道怎么提高网站的安全的话可以阅读小型企业应该如何提高网络安全?

十月 17th, 2019

为了保证网站的数据安全,网站拥有者想出了很多办法来保护自己的网站,例如安装安全插件,使用强密码等。安装SSL证书无疑是其中的一个好方法。在客户与网站进行交互时,SSl证书可以将客户提供的信息进行加密,以避免被其他人盗取并查看到相关的信息。那么如何来安装并启用SSL证书呢?

1.首先需要在服务器中安装SSL证书。

SSL证书的种类多种多样,一般分为域名验证(DV)、组织验证(OV)、扩展验证(EV),而且SSL证书还有付费版和免费版两种,如果选择了付费的SSL证书,那么你可以联系它们的售后支持帮您继续进行安装,如果您使用的是免费的SSl证书,那么安装SSL证书的工作需要您来自己完成。当然您也可以上网搜索相关的教程来进行安装。

一般来说,如果安全性要求比较高,请选择付费版SSL证书,并且安全等级越高,价格也会越高。

2当我们把SSL证书成功的安装到了服务器后,并不代表我们访问网站会自动显示安全。这是因为网站访问的默认链接是http链接,而SSL证书是需要和https链接来配合使用的。所以还需要在网站中将链接修改为https.

WordPress网站中,我们可以通过进入到网站后台来直接修改https链接。进入WordPress后台,设置,将WordPress Address(URL)和Site Address(URL)全部修改成https即可。

或者我们可以通过修改.htaccess文件来实现跳转。通过控制面板或者FTP来在网站文件目录中找到.htraccess文件,将以下代码添加到该文件的最上方:

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.domain.com/$1 [R,L]

请注意,将最后一行的 www.domain.com修改成自己网站的域名即可,然后刷新一下页面即可。通常情况下,网站会自动跳转到https,并显示安全。更多相关内容可以访问Hostease美国服务器官网,推荐阅读 SSL与TLS在互联网上有哪些作用

TAGS:
八月 19th, 2019

安全意识始于企业创建之初;所雇用的每一个人、技术部署,甚至是与供应商的关系,都可以巩固企业地位或者使其面临风险。小企业常常是恶意攻击的目标,因为人们普遍认为它们容易妥协。尽早制定战略至关重要,这样就不会轻易被黑客定为攻击目标。Hostease美国服务器商可以为用户提供VPS主机和自动更新和备份,以确保网站安全。

创建安全策略

根据环境制定适当的政策并培训人员。虽然这看起来很简单,但社会工程是一种常用的愚弄那些不知情的人的工具。为什么呢?仅仅是因为它有效而且可靠。制定一项政策,将信息安全放在首位,并通过可靠人员传播信息,这是保护业务的第一道防线。

此时应该特别注意哪些方面呢?个人移动设备。它们通常是网络罪犯盗取敏感信息的第一站,必须在业务中采取适当的法规加以解决。

请记住:不更新的政策与根本没有政策一样糟糕。业务规章制度必须跟上时代的步伐,并在出现新威胁时进行调整。

保持房子整洁干净。简单地说,使用知名的最新安全软件、操作系统,并定期更新所有内容。特洛伊木马和其他恶意程序彻底击败了一些最昂贵的硬件安全解决方案。大力实施这些做法在很大程度上降低了这些攻击的风险。通过一个合理的政策维持网站的秩序,已经完成一半的安全设置了。

为正确的环境部署和使用正确的硬件。如果企业可以从外部访问互联网,则需要实施防火墙。防火墙是一种需要定期维护的硬件设备(有时是软件),但将不需要的流量保持在业务之外是绝对关键的。根据业务规模和范围的不同,防火墙可能很昂贵,配置和维护此硬件所需的人才也可能很昂贵,但这是值得的。

一些企业可能会发现,以大大降低的成本将此解决方案外包给专家服务提供商更为可行,而其他企业可能更喜欢对其安全实现进行绝对控制。这些好处很容易总结;部署自己的硬件允许无限的可配置性,而外包可以节省大量的时间和金钱。相关阅读<<<<网站一般被黑的种类有哪些

控制物理访问

简而言之:限制对服务器或计算机室的访问。大多数员工不需要在这些领域担任固定的工作,而且他们根本没有理由呆在那里。

任何非公开信息(NPI)必须通过高度可问责的访问例程来严格控制。考虑个人移动设备,以及如何使用它们来劫持有价值的NPI数据——不能仅仅因为认识或信任某个员工就放弃访问例程。

最后,考虑聘请一名安全顾问来审计业务。尽管尽了最大努力,但专家们在这个领域存在的原因有两个:

攻击的途径是广泛的,广阔的,不断变化的

无论是否经历过任何攻击,业务都将从定期审计中获益

它有助于确保未来的攻击不会成功

公众的信任是一场艰难的胜利,但一旦涉及到个人信息,就很容易丧失

未雨绸缪

安全顾问在游戏中处于领先地位,这样就没有自己成为专家的负担了。咨询师的费用和公众信心的成本是很容易计算出来的;只需要看看一些值得信赖的品牌的历史事迹,安全性不知何故被排除在了商业计划之外后,这些品牌很快就变得无关紧要了。

相关内容推荐:<<<<网络程序中哪些数据缺陷会影响到网络安全

八月 12th, 2019

星期五的早晨,起床后吃了顿温馨的早餐然后是该去上班的时候了。启动汽车,往公司驶区。然后路上在咖啡店停了下来,像往常一样去买咖啡并且查看wordpress主机资讯情况。当从咖啡店停车场出来的时候,感觉到车前轮上砰的一声。

迅速靠边停车,发现轮胎漏气了。惊慌失措的跑到车尾打开后备箱,寻找备用轮胎,结果却发现它被拿走了。然后记起家里人一周前把它带到轮胎店维修,可能忘了把它放回去。

轮胎没气了,不能开车去上班。现在该怎么办呢?拿起电话,试图给家里人打电话,但是就在听到第一声铃声时,电话就关机了。电池没电了。有些人可能会说,只是过了糟糕的一天,肯定会遇到一些挑战,但如果事先做好准备,把备用轮胎放回车里,在前一天晚上给手机充电的话,就不会出现这些问题了。或者,可能打电话叫优步,并且仍然能够按时投入工作!

网站需要备份吗?

其实网站也有可能发生类似的事情。有人可能会说,网站不可能有爆胎。没错,但如果不是爆胎,而是成功的网络钓鱼攻击,会发生什么呢?它和爆胎有同样的效果,但只是发生在网上。

没有人能够访问网站。看看上面的故事情节。当要获取“备用轮胎”或网站备份,发现它在同一台服务器上,并且在黑客攻击发生时被删除。

该怎么办呢?想坐下来给网页开发人员发送一条快速消息时,会意识到电子邮件也不见了!黑客接管了全部托管帐户。大多数时候,被黑客攻击并不是主机提供商的错。这是自己的问题,因为没有做好准备。这种情况与爆胎完全相同,但事实上,它比汽车爆胎的频率要高得多。

什么是网站备份?

网站备份是一张安全网,或网站的备用轮胎。它通常是所有网站文件的完整副本,如果有任何事情发生,可以轻松地恢复网站。

有些人认为,网站备份只是为了防止服务器发生问题。虽然这可能是部分原因,但网站备份确实是网站安全中最强大的工具,因为只有它才能在黑客或恶意软件感染发生后立刻恢复网站。

一些被攻击和黑客攻击的网站所有者,由于有了最近的备份,在短短几分钟内就可以恢复他们的网站,这都归功于wordpress主机

如何备份网站?

备份网站可能看起来很复杂,但有了新的备份管理器,可以使一个备份方式比改变轮胎更快,更容易!只需在帐户管理面板(AMP)中选择“备份管理器”,然后就可以设置网站备份的频率。

如果发生任何情况,还可以轻松恢复备份,甚至可以设置电子邮件通知,让网站所有者知道何时启用备份数据。

七月 30th, 2019

今天,将讨论WordPress网站的安全性,以及VPS主机等选项如何帮助网站保持其安全。令人难以置信的是,WordPress网站受到攻击的速度是每分钟九万次!如今要想在网上不受到攻击是不可能的,所以,需要尽可能地确保网站的安全。以下是几种不同的方法:

VPS主机的情况

首先需要做的事情之一就是查看主机托管状态。如果在共享主机上,那么网站与数百个其他网站位于同一服务器上。如果黑客破坏了其中一个站点,那么其他站点也会容易受到攻击。更好的选择是切换到虚拟专用服务器(VPS)。在这个托管平台中,服务器上的每个站点都被分配给服务器的一个单独的部分。这会在网站之间竖起一道高墙,使它们无法共享资源。这也意味着将站点与受感染或被黑客攻击的站点分离,这样它们就不会危及站点。推荐阅读 共享主机有哪些方面比VPS主机好。

更新

重要的事情说三遍:必须定期更新网站的所有内容。这包括站点本身和编辑站点的计算机。(主机公司应负责更新服务器的软件和操作系统)如果发现WordPress中存在缺陷或故障,他们将尽快发布补丁来纠正。如果不运行这些更新,相当于把网站开放给潜在的黑客。

 密码

另一种保护自己的方法是确保所有与网站相关的密码都是真正安全的,应该将输入登录密码次数设为最小值:

八到十六个字符之间

随机(没有完整的单词或名字,没有个人信息)

大写字母、小写字母、数字和特殊字符(@#$%)的混合

这样,黑客将很难访问网站,还应该限制站点上允许的登录次数。黑客可以使用程序随机“尝试”密码组合,直到找到正确的密码。但是,如果在三次尝试之后锁定了它们,就阻止了黑客的入侵行为。还可以在登录时添加双重身份验证,这意味着正常登录,然后必须输入一个作为文本发送到智能手机的代码。骗子想要破解,必须窃取密码和智能手机。

备份

如果最糟糕的情况发生了,遭到了黑客攻击,那么还有一种方法可以解决这个问题。只需要从站点的最后一个(未感染)版本恢复网站即可。如果定期进行备份(或者让主机提供商进行备份),那么只需按下一个按钮就可以恢复网站,就可以扳倒那些试图入侵网站的黑客。更多相关内容可以参考了解 海外服务器有哪些常见的备份方法。

用户可能会被黑客攻击,这就是网络世界的特性。但是,使用VPS主机、定期更新和备份以及安全密码,可以阻止黑客并阻止他们破坏自己努力起的网站。Hostease美国服务器商可以为用户提供VPS主机和自动更新和备份,以确保网站安全。

六月 28th, 2019

以信息传播的速度,人们很容易忘记互联网是比较年轻的东西。有了指数增长的潜力,尤其是负面预测,人们可以开始看到互联网的好处,当数据被用于进步的技术,以及造福全人类。专门分析、开发和研究漏洞的网络安全项目现在正在与行业领袖和思科塔洛斯(Cisco Talos)、谷歌(Google)和IBM等公司合作,目的是有目的地暴露设计缺陷。故意破坏软件的行为本质上是恶意的和粗鲁的。然而,这些蓄意攻击提供了透明度,促进了加强安全,避免了潜在的威胁。在实践中,在坏人利用缺陷之前,最好是好人找到缺陷。在公开披露之前,为供应商提供了零日漏洞,从而使开发人员有机会实现一个补丁。这个想法是合作,像谷歌这样的公司与GNU项目这样的免费软件项目合作,为开源项目提供一个改进的平台。

开源项目主要是由社区支持的,许多项目是成员开发和研究贡献的产物。开放网络应用程序安全项目简称为OWASP,是致力于网络应用程序安全性的非盈利性组织。这个开源社区提供了网络App的安全性和分析数据,对服务器产生了更直接的影响。虽然Cisco、谷歌和IBM等大公司的业务处于最前沿,但像OWASP这样的项目利用2017年收集的数据在网络应用程序中编制了十大安全风险。

最大的网络安全风险,注入:SQL,XML解析器,OS命令,SMTP头。从2016年开始,2017年注入式攻击显著增加了37%。代码注入攻击可以包含完整的系统,并获得完全控制。SQL注入会破坏数据库,查询通常包含个人信息的最重要组件。

身份验证:蛮力、字典、会话管理攻击。随着单词表的不断扩大,弱密码越来越容易受到字典攻击。不要设置特殊的字符限制和最大长度值,这会降低密码的复杂性。成功的身份验证会生成具有空闲超时的随机会话ID。

安全性错误配置:未修补的缺陷、默认帐户、未保护的文件/目录。大约五分之一的违规事件都是由错误引起的。

XML外部实体:DDOS、XML上载、URI评估。使用XML-RPC的CMS,包括WordPress和Drupal,易受远程入侵。有许多实例使用ping-back攻击发送DoS/DDOS流量。在大多数情况下,XML-RPC文件可以完全删除。XML处理器可以评估URI,可以利用它上载恶意内容。像如果网站优化时,网站安全不好是非常受影响的,相关内容可以了解一下 网站安全对网站优化有哪些影响

日志记录和监控不足。防止不可修复的数据泄漏需要意识到。68%的违规事件花了数月或更长时间才被发现。记录和监控警报对于记录异常情况是至关重要的。

了解风险是最好的防御手段,在这个充满漏洞的世界网络中,对看似不可避免的攻击做好准备是最大的资产。毫无疑问,安全始于个人,大多数信息技术专业人员同意,相关课程应该是一项要求。随着技术的进步,漏洞也会随之出现,作为一个社区,人们可以看到数据和分析在创新中的重要性。

更多相关内容可以访问Hostease美国服务器官网了解更多内容,推荐阅读 怎样检测服务器安全及查找相关漏洞

六月 13th, 2019

公钥加密是互联网上最常用的安全技术之一,本文Hostease美国服务器商将介绍什么是私钥加密,它是如何工作的,以及它为什么很重要。

加密是如何工作的?

在使用加密时,正在发送的消息会与加密算法中的密钥结合在一起。这个密钥可以被认为是提供了算法使用的设置,通常被看作一个看似随机的字符串。在早期,这些加密算法将使用相同的密钥来加密消息并对其进行解密(称为对称密钥加密)。这些密钥需要在计划使用加密的双方之间交换,然后才能相互对任何消息进行加密。这个方法的问题是,确保密钥安全地在双方之间传递是非常重要的,以确保它不会被破坏。这通常是通过面对面的会谈或通过一个可信任的第三方来完成,以确保密钥不被截获。相关内容可以了解一下 什么是SSH密钥,如何在Linux服务器中使用它

公钥加密

公钥加密是为了解决对称密钥加密技术中的密钥共享问题而设计的。这个概念涉及在使用加密时使用两个不同的密钥,一个用于加密消息,另一个用于解密消息。这些密钥被称为公共密钥和私有密钥。加密算法会在通信发生之前创建一对匹配的公钥和私钥。公钥之所以命名为公钥,就是因为它可以公开共享密钥,而不会降低加密消息的安全性。

另一方面,私钥要保密,不能与任何人共享,这一点非常重要。但是,这些密钥有不同的用途:公钥用于加密发送给私钥所有者的消息,这些加密的消息只能使用私钥解密。私钥可用于为消息创建署名。可以使用公钥验证此署名,以证明它来自私钥的所有者。它不为消息提供安全性。它仍然是纯文本的,但可以验证消息的真实性。

 折衷之法

为了安全地进行通信,双方可以共享各自的公钥,然后可以通过向任意方向加密来继续安全通信。这个系统的一个缺点是,当与某人进行远程通信时,没有办法保证其身份的真实性,因此可能需要其他系统来进行验证。公钥加密的另一个缺点是,与对称密钥加密相比,所使用的加密方法在计算上通常很昂贵。为了加快速度,许多系统在第一次交易时使用公钥加密来建立通信,在通信过程中,他们将协商使用另一种对称密钥加密方法,并共享一个密钥,用于进一步加密通信。

公钥加密已经成为当今互联网上使用的许多加密和安全系统的一部分。它被用作设置服务通信的一部分,如安全外壳协议(SSH)和传输层安全性(TLS)。它还可用于消息通信系统,如完美隐私(PGP)。WhatsApp在算法更新和更改会话中使用的密钥方面做得更好,因此,如果任何人拦截加密的消息,然后设法获得一个私钥,他们只能解密一小部分消息。相关内容 :SSL与TLS在互联网中的作用是什么

更多相关互联网的介绍可以文章Hostease美国服务器官网了解。

五月 27th, 2019

如果使用网站服务器已经有一段时间了,可能会看到对SSL证书和TLS的引用。本文就SSL与TLS的相关内容Hostease美国服务器商做出具体介绍,包括它们为什么对服务器很重要。早期互联网的一个特点是它被视为一个非常值得信赖的地方。因此,许多在线使用的通信协议都没有提供任何对正在与之通信的服务器进行身份验证的方法,或者防止任何人截获通信并读取它们。这意味着,当导航到一个网站时,不仅不能确定所连接的服务器是否是认为正在连接的服务器,而且任何能够截获发送给它的内容(如密码)的人都可以很容易地以纯文本形式读取它们。

SSL保存数据

SSL协议最初是由Netscape公司设计的,作为解决这些缺陷的一种方法。它提供了一个经过加密签名的证书,该证书可以颁发给服务器,该服务器可以用来标识自己,并证明它应该为所连接的域提供网页。此外,它还提供了一种网络浏览器和网站服务器可以加密他们之间传输数据的方法,这意味着如果有人真的截获了他们之间的网络流量,所收集的数据对他们来说将是无用的。

升级到TLS

传输层安全性(TLS)是作为对SSL的升级版本而开发的。它于一九九九年发布,建立在SSL创建的基础之上。由于同样的证书同时用于SSL和TLS,而且相同的软件库处理两种形式的安全性,术语SSL通常用于指SSL和TLS,尽管发现SSL协议本身已被破坏,多年来不适合使用。所使用的证书通常仍被称为SSL证书。配置服务器和应用也引用SSL,除非它已经过时,否则大多数软件只使用TLS进行通信。

使用SSL/TLS确保日常互联网使用安全

现在来看看它是如何工作的。域名所有者通常会直接或通过第三方向证书颁发机构(CA)申请证书,许多虚拟主机提供商为其客户提供证书折扣,而不是直接从证书颁发机构购买。大多数CA提供来自基本域验证的多层次证书(在此情况下,申请人必须证明他们拥有对该域的控制权),在扩展验证证书中,他们不仅检查对域名的控制,而且还检查所属机构,它在政府机构的注册状态,最后检查其身份与任何官方记录是否相符。

扩展验证证书通常用于在线交易的企业,因为它为客户提供了额外的保障。从用户的角度来看,带有基本证书的网站会显示在浏览器中,浏览器栏上有一个绿色挂锁。扩展证书还会显示挂锁旁边的公司名称。不使用CA也可以创建自签名证书。这些证书不会提供服务器可以使用证书的证据,但如果最终用户接受了证书,则仍然允许加密通信。

当网络浏览器使用HTTPS(超文本传输协议安全)连接到服务器时,服务器将首先展示其证书作为验证自身的一种方式。证书将由颁发CA签署,然后网络浏览器将使用CA的公钥解密该签名,以确保证书是有效的,前提是网络浏览器信任颁发CA。如果是这样,浏览器就会信任该站点。然后,只要证书所针对的域与浏览器试图访问的域相匹配,并且证书没有过期,则网络浏览器将继续连接到该网站并协商加密通信,而无需用户进一步输入证明信息。如果这些条件中的任何一个不满足,网络浏览器将提醒用户网站有问题,以便他们可以选择是否继续访问。由于它们不是由可信的CA颁发的,自签名证书将无法通过这个测试,因此它们主要用于开发环境和测试,而不是用于公共访问的站点。

用于各种用途的SSL

SSL/TLS的使用不仅限于网站。现在,电子邮件客户端可以在连接到邮件服务器和FTP服务器时使用它们。VPN技术也充分利用了该技术。这意味着,如果从一个域运行多个服务,那么可以在所有服务之间共享SSL证书。如今,像谷歌和Mozilla这样的公司都在推荐网站使用HTTPS,使之成为所有网站的默认配置,使网站成为所有用户的安全场所。像让加密这样的服务可以让任何公开访问的网站服务器免费获得基本的域验证证书。如果将一个网站或服务放到在网络世界里,强烈建议使用SSL/TLS技术来确保客户的服务。

更多相关内容可以访问Hostease美国服务器官网,推荐阅读 SSL与TLS在互联网上有哪些作用