来自 安全 2021-10-12 02:10 的文章

cdn防护_高仿和正品的区别在哪_指南

cdn防护_高仿和正品的区别在哪_指南

和Drupal有什么关系?又是一个月,又一个引发安全灾难的世界末日,10月也没什么不同。就在两周前,Drupal的免费开源CMS背后的安全团队发布了一份不祥的安全建议,震惊了安全行业的许多人。该公告SA-CORE-2014-005通知用户,所有Drupal 7站点中的SQL注入缺陷允许攻击者访问数据库等。但直到上周,Drupal团队才发布了这则不祥的公共服务公告,称攻击自最初的安全公告发布后7.5小时就开始了。我们被警告"在假设每个Drupal 7网站都被破坏的情况下继续进行,除非在10月15日,防御ddos攻击软件,UTC晚上11点之前更新或修补。"团队甚至将其指定为最高的安全风险,25个"高度严重"的网站中的25个。根据Drupal顾问BevanRudge的推测,有后门的Drupal站点数量在10%到90%之间。Drupal漏洞的最大问题是,ddos防御是什么,它允许任何人在没有任何附加身份验证的情况下利用它。只要一行代码就可以让黑客进入他们的数据库。这使得它成为自动攻击的完美目标,而这正是所发生的事情。利用自动化脚本,攻击者在过去两周内找到并利用他们遇到的任何未修补的站点,窃取数据并安装后门,这些后门很容易长时间不被发现。虽然这个特定的问题只影响那些使用Drupal平台的用户,但是总有一些经验教训可以从这样的实例中吸取。让我们来分析一下Drupal SQL注入缺陷的一些主要优点。经验教训:Drupal安全恐慌的7点启示1.你不能把所有的鸡蛋都放在开源安全团队的篮子里去年11月,Drupal issue tracker将该漏洞列为一个简单的bug(带有安全标签)。如果黑客在安全小组发现之前,几个月后就可以打开闸门。这个问题是在Drupal上运行的一个独立站点执行私有安全审计之后才引起Drupal团队的注意的。他们发现了这个缺陷,ddos攻击防御公司,并向Drupal团队报告。从这个时间轴上,我们可以总结出两个教训:没有人是完美的,即使是最好的安全团队和数以百计的社区志愿者也在寻找解决此类问题的代码。执行自己的手动检查和自动扫描非常重要,以确保这些东西不会从裂缝中滑出。Drupal QA工程师Ryan Aslett对谁负责Drupal的安全性问题给出了极好的回答:"这样的事情谁负责"的问题很简单。你是,我也是。你可以仔细阅读整个代码库,确保在运行代码之前,它对你自己的标准来说是足够安全的。"2.CMS平台既是祸福在诸如WordPress、Joomla和Drupal这样的CMS平台上托管您的站点,既有它的起起落落,而且有了Drupageddon,我们就遇到了一个陷阱。一旦像这样的漏洞被报告给公众,组织和恶意行为体要么修复问题,要么利用漏洞,就要展开竞赛。StillSecure首席执行官詹姆斯•布朗(James Brown)去年在接受Dark Reading采访时表示:"当漏洞浮出水面时,它远比国产网站糟糕,因为攻击面变成了每个人都有一个(CMS托管)网站,而不仅仅是一个网站。"它也更有可能广为人知,从而被广泛利用。"虽然这个缺陷恰好存在于Drupal的核心平台中,但是使用CMS平台的好处之一是可以定制站点的插件和模块,而无需自己编写代码。但因为是别人写的,所以更重要的是看一下引擎盖下面到底是什么。去年夏天,Checkmarx对这些流行平台做了我们自己的研究。我们关注的是WordPress,这是最受欢迎的CMS,全球61%的CMS用户都使用它。我们的研究发现,大约20%的最流行的WordPress插件包含容易被利用的漏洞,总共下载了800万个易受攻击的WordPress插件。虽然现成的框架对许多组织来说都很好,但是CMS平台有时确实需要更多的安全性工作。3.安全警告与黑客利用漏洞之间的时间间隔越来越短。Drupal顾问Bevan Rudge写道:"如果你的网站在发布后一天内没有更新,cdn高防ip,它可能会受到影响。"即使您的网站在一天内更新,也可能会受到影响。"事实上,在最初的安全咨询7小时内,黑客已经利用这个漏洞攻击了无数的网站,这一事实证明了适当的披露是多么重要,以及关注相关安全咨询的消息是多么重要。4.负责任的披露是双向的。从最初的漏洞被披露的方式,到黑客如何比预期的更快地使用漏洞,我们几乎都同意这个问题从一开始就没有得到很好的处理。发现该漏洞的安全研究人员明确表示,他们指示Drupal的团队以不同的方式披露问题,其他人也表达了同样的看法。正如Gavin Millard告诉注册者的那样,"向所有人宣布代码中的一个基本缺陷,而不给Drupal用户太多的时间来主动修补,这样攻击者就有足够的时间将缺陷武器化、过滤数据或操纵系统,以备日后利用。"针对这一事件,Drupal社区一直在讨论未来的各种解决方案。一些人建议安全团队提供一个预发布,以便首先警告管理员和所有者注意安全建议。其他人讨论了如何提高报告安全问题的清晰度以及自动监视队列中的新问题。5.再说一次,"眼睛多了,虫子都浅了"也不总是这样。Drupal团队不能确保您使用的开源项目对于您的标准来说足够安全。如果你在网站的安全性上投入了很多精力,你会花更多的时间手动和自动地扫描代码,并且定期扫描。正如Drupal团队自己承认的那样,软件安全性从来都不是完美的,他们也是如此。那么,最近的事件是否证明了像Drupal这样的开源平台是多么不安全?Drupal的Aslett这样说:"不,它证明了所有软件都有潜在的安全问题,就像Heartbleed、Shellshock、Poodle和其他大量未命名的安全漏洞一样,Drupal也可能有未被发现的漏洞。"正如我们在Heartbleed和Shellshock中看到的,仅仅因为它是开源的并不意味着它没有bug;这个缺陷甚至可以追溯到2008年。虽然我们知道不应该认为默默无闻的安全性在任何方面都更好,但我们也需要理解开源的缺点,并共同努力来弥补它们。6.强大的安全策略和控制不仅仅是"好的",而且是必须的。安全测试至关重要。如果有人在整个事件中"占上风",那就是该组织雇佣安全团队来审核他们的代码。安全策略包括定期彻底扫描和查看代码,并快速实现更新,这是确保您自身安全的几个最佳方法。另一方面,更多没有强有力的安全策略的组织可能正在处理最新安全问题之一的反作用。如果你也在这个群体中,现在可能是修改政策的好时机。7.在安全方面,没有尽头。很容易形成这样的心态,即使用补丁和更新作为保持安全的常用方法。事实上,这只是保持漂浮,希望不要被任何暗流所拖累。对于Drupal的安全团队来说,补丁和更新并不是一秒钟的结束,保持站点或系统的更新实际上只是安全性的开始。在安全方面,就像生活中的其他事情一样,总有改进的余地。切中要害这里的一线希望是,虽然类似此漏洞的错误发生了,但仍有一些人和组织在做正确的事情,包括报告SQL注入漏洞的Sektion Eins团队和与他们合作并尽快解决问题的Drupal团队。安全性从来没有做到过,这是另一个例子,说明了警惕性和主动性是如何得到回报的。如果你被Drupalled(如果这个词流行起来,它是在这里首先创造的!),Drupal的好人有一个指南,可以让你的网站重新回到你的手中。如果你是一个运行Drupal站点的Checkmarx用户,linuxddos防御,现在就花点时间对站点的源代码进行扫描,并致力于修复您发现的问题。想了解更多关于Checkmarx如何帮助你保护你的网站?请立即联系我们。生物最新帖子莎拉冯内古特莎拉负责社交媒体,同时也是切克马克思内容团队的编辑和作家。她的团队揭示了鲜为人知的AppSec问题,并努力推出内容,以激励、激励和教导安全专业人士如何在日益不安全的世界中领先于黑客。莎拉·冯内古特的最新帖子你的网上银行应用程序安全性如何?-2018年2月26日