来自 数据 2021-10-11 20:11 的文章

服务器安全防护_服务器增加防御_免费测试

服务器安全防护_服务器增加防御_免费测试

2016年6月,ddos攻击防御论文,加拿大论坛托管公司VerticalScope遭遇大规模黑客攻击的消息迅速传遍各个安全博客和科技新闻网站。在这次攻击中,黑客从VerticalScope网络中的1000多个论坛和网站中窃取并泄露了4500万条记录。在他们最大的网站中,有摩托车网, 船网, 母亲网请继续阅读,了解攻击者如何能够访问他们的数据库和内容管理系统(CMS),并了解如何确保CMS的安全。泄漏源.com这家搜索超过19亿条泄密记录的热门搜索引擎,在4月份首次在他们的数据库中添加了这次泄密的细节,然而,直到6月中旬才分析了这次黑客攻击。在VerticalScope论坛和网站泄露的信息中,包括用户的用户名、用户ID、电子邮件地址和加密密码。黑客剖析为了访问大量的用户数据,攻击者必须利用VerticalScope安全措施及其内容管理系统(CMS)中的多个弱点。 《安全周刊》指出,攻击者极有可能通过一个可轻松破解的vBulletin软件(可追溯至2007年)获取大量敏感用户信息,此外还有未修补的WordPress版本和易受攻击的WordPress插件,cdn防御cc的原理,这些插件会给恶意方带来广泛的攻击媒介。 WordPress 4.2.4版中发现的漏洞包括XSS、服务器端请求伪造(SSRF)、身份验证问题、开放重定向等。 允许黑客访问如此大量信息的其他因素包括,用户数据似乎存储在一台服务器上,或者存储在一系列连接的服务器上,而不是存储在单独的服务器上。最后,DDOS防御案例,绝大多数密码都是用MD5加salting很容易破解的方法加密的,而4500万个密码中只有不到几百万个被充分加密。 当我们看看下图中最受欢迎的十大泄露密码时,很明显,在黑客攻击和泄密之间的某个地方,发生了某种形式的数据不一致,安全专家特洛伊·亨特将其归因于"源代码中的数据不一致,黑客如何将其导出或被其下游处理的其他人篡改。" 相比之下,大多数从大规模黑客攻击中泄露的最常见密码通常都是围绕着"123456"、"qwerty"、"password"和其他类似主题的变体展开的。正确加密的重要性VerticalScope试图使用MD5和salt来散列他们的密码,有安全意识的开发人员一致认为,在保护密码时,这是一个"非常糟糕的选择"。MD5算法于1992年首次设计,是一个产生128位哈希值的哈希函数。早在1996年,MD5的设计中就发现了缺陷,而在2005年,MD5显然不具有抗冲突性,这是安全加密算法的关键组件。如何确保正确的加密除了避免将MD5散列作为您选择的方法外,还必须避免SHA-0,因为它已经被彻底破坏了,SHA-1和DES都可能被普通台式机的GPU破坏。 在选择加密方法时,一定要注意使用至少为168位的对称算法密钥大小,如果要处理金融事务,则至少使用256位。确保应用程序保护文件系统中的所有加密密钥也有助于确保加密数据不被利用此外,还建议使用静态代码分析解决方案来确保应用程序具有足够的加密,因为开发人员可以在SDLC的早期阶段缓解任何加密问题。CuxMax的CXSAST扫描并识别和识别多种语言的加密安全问题,包括java、CPP、JavaScript、ObjtC++、Perl和Perl。 常见的加密安全威胁包括: 缺少敏感数据加密密码弱加密XS未加密数据传输加密密钥大小不足缺少敏感数据加密加密强度不足 保持你的CMS和插件补丁和更新除了弱加密之外,VerticalScope的用户数据的安全性也受到一些VerticalScope网站使用的过时和未修补的内容管理系统的威胁。旧的易受攻击的WordPress版本和插件导致了2016年一些最引人注目的漏洞和漏洞利用,包括现在臭名昭著的巴拿马文件泄露事件,其中涉及超过2.6 TB的数据泄漏。在这种情况下,专家认为是一个看似无辜的WordPress图像滑块插件为攻击者创建了进入点。 在VerticalScope案例中,它是一个过时的未修补的WordPress版本,cdn高防ip,它具有许多安全漏洞,黑客可以利用这些漏洞访问用户数据,而在巴拿马文件泄露事件中,它是一个过时的Drupal版本,为黑客提供了攻击载体。 为什么像jopal这样的平台被黑客攻击,而其他的原因之一就是他们没有成为开源的目标。通常,网站管理员会把这些"名牌"平台带来的人气误认为是安全性的虚假标志,而事实往往恰恰相反。当Checkmarx检查了WordPress上前50个插件的安全状态时,发现超过20%的插件容易受到常见的web攻击。这项研究还调查了顶级电子商务,10个最流行的电子商务中有7个包含漏洞。 如何保护你的CMS免受黑客攻击为了确保你的CMS安全抵御黑客,第一步是确保你的平台是最新的。与您的开发人员一起定期安排更新或修补程序,服务程序能否防御ddos,以确保您的站点使用最新和最安全的版本。此外,定期备份CMS及其数据库,并确保随时关注平台特定的安全问题,及时了解他们的建议和安全威胁。 检查此处的WordPress安全更新在这里检查Drupal的安全更新。 CMS插件的安全性也应该是一个重点。网站管理员应该确保只从信誉良好的来源下载插件,例如wordpress.org网站.此外,插件也应该定期更新和补丁,如果必要的话。web管理员和插件开发人员都应该通过源代码分析解决方案运行插件,以扫描任何漏洞,如果被利用,这些漏洞可能会对业务造成不可修复的损害。  CMSCMS平台工作压力生物最新帖子保罗·库伦Paul拥有移动应用领域的背景,他对应用程序安全趋势、新闻和安全问题的创造性报道充满激情,这些都是开发人员、组织和最终用户在Checkmarx的内容中所面临的问题。保罗·柯兰的最新帖子敏捷时代的BSIMM——2017年4月13日如何在Go中安全地编码-2017年4月6日Bamboo vs Jenkins-2017年3月12日