DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > 高防服务器 > 正文

网站安全防护_ddos防护厂家_秒解封

网站安全防护_ddos防护厂家_秒解封

作为发布nexus2.0和存储库健康检查的一部分,我们将讲述一些关于安全性以及安全性如何影响工作的开发人员的故事。作为开发人员,我们并不总是关注安全性,但随着攻击变得越来越复杂,对Java和.NET等平台的了解程度越来越高,并且能够影响自定义应用程序代码,安全性将在开发中扮演越来越重要的角色。在这篇文章中,我谈到了去年我看到的一个安全事件,并从中总结出了一些经验教训。但首先,我们的赞助商发出一条消息:Sonatype的nexus2.0提供了一个存储库健康检查。它本身并不能解决安全问题,但它可以在更大的、组织范围内的安全方法中发挥关键作用。如果您正在使用Tomcat、Spring和其他知名组件开发应用程序,那么您会对生产中出现的各种漏洞感到惊讶。一旦您有了在nexusprofessional中运行详细的RHC报告的能力,您就可以从应用程序中删除这些组件,迭代并消除已知的漏洞。单击此处了解有关Nexus2.0的更多信息。对大多数非技术人员来说,技术是神奇的。。。去年我花了很多时间处理一个复杂的安全事件。首先,让我澄清一下,这起事件与索纳泰克无关。这是一家我碰巧与之共用办公空间的公司,为了保护无辜者,我不愿透露这家公司的名称。我们就说这是一家依靠互联网维持业务的公司。如果网站瘫痪,业务就会停止,直到网站恢复正常。就这么简单。虽然企业依赖技术,但没有一个直接雇员是非常技术性的。他们把托管和应用程序开发外包给了承包商,他们没有再考虑技术问题。对大多数非技术人员来说,技术是神奇的:网站只是工作,数据库只是坐在那里,整天"数据库"。如果你开始谈论不同类型的托管服务器和实现语言,你就不能指望大多数人都能接触到这项技术。开发者很灵活这就是为什么公司会给像你我这样的人付钱。我是一个开发人员,我了解你希望开发人员了解某个特定技术领域的大多数事情。例如,每个开发web应用程序的人都应该至少了解TCP/IP和HTTP协议的基本知识。基本的东西,ddoscc攻击防御,在初次面试中你会被问到的。除了那些我们都希望知道的基本事实之外,还有一些额外的东西。例如,有些开发人员比其他人更了解操作,有些开发人员可以兼任dba,而其他开发人员则可以伪装成经理。开发人员善于适应,在IT部门的每个人中,我们最有可能承担多种职责或跨越工作描述的职责。作为一个好的开发人员,你必须能够理解抽象和模型过程,防火墙ddos防御设置,你必须能够适应。但是,尽管我们的职业很灵活,我注意到了一个明显的差距——安全。是的,我不知道,我们有安保人员。。。回到这个安全事件。一家网络托管公司部署了一些严重的自定义应用程序逻辑,这些逻辑充满了问题。首先,他们创建了一个网站,不接受带撇号的姓氏。"为什么?",我问道。"好吧,网络不能使用撇号。"忽略了这是错误的事实,姓氏"O'Brien"产生的SQL错误也是SQL注入漏洞的证据。作为一个好邻居,我通知了公司的首席执行官这个漏洞,并告诉他让他的承包商来修复它。他们的回答是,"是的,我们的ISP有安全人员,我确信它是安全的。"几个星期过去了,这个网站终于被黑客入侵了。有人发现了一种使用易受攻击的插件执行跨站点脚本攻击的方法。一夜之间,我同事的生意从赚钱变成了通过黑客谷歌网站地图销售伟哥。不仅如此,这台机器是自己的,在俄罗斯和菲律宾的多个IP地址不断遭到攻击,它还引发了一些1级SMTP黑名单。我们不是保安,你们有保安吗?就在这时它开始变得有趣了。我的邻居,首席执行官,最初得到一些反馈,ddos防御服务器,说一切都已修复,不用担心。一周过去了,攻击范围扩大了。整个网站被破坏了,而不仅仅是一个卖ED药物的页面。服务器现在被标记为2级SMTP黑名单威胁(这意味着整个ISP都受到了威胁)。没有顾客回他的电话,生意陷入困境。虽然应用程序开发人员已经识别出应用程序中的几个修改过的文件,并确信问题已经被隔离,但我的同事却对他的开发人员失去了信心。事实上,ddos大流量攻击防御,他们最初回避了安全责任,这是最让他烦恼的。如果你不认为你对安全负责,再想想。当时我既不是为公司工作,也不是为承包商工作,但我作为一种第二种意见,一个传声筒,我从经验中得到的教训是,非技术人员不关心开发人员、系统管理员、DBA和安全人员之间的细微差别。另一个教训是我们都是保安。除非你在17个国家安全级别的防火墙后面工作,否则你最好专注于构建安全系统。你最好不要使用已经知道漏洞和大秘密的插件和软件,没有所谓的"安全人员"。这里的大新闻是,你是安全人员,如果你写任何代码,你应该考虑漏洞和如何避免它们。当你遭受攻击时(最终会发生),没有借口。如果你已经知道了一个弱点,那就没有借口了。今天的攻击:袖子上的新把戏今天的袭击很复杂。它们是"多模态"的。现在的攻击不再是像BIND这样的单一系统级组件,而是开始涉及到定制的应用程序代码以及系统级的黑客攻击。这个被破坏的web应用程序为其他系统的攻击埋下了伏笔,因为某人的SSH密码与MySQL数据库中存储的、未加密的密码相同。这意味着,即使您要清理受影响的应用程序代码,也无法知道还有哪些代码受到了损害。这样,清理一个受损的系统几乎是不可能的。通常情况下,当你遭受复杂的攻击时,最好的答案是重新开始(听起来疯狂而不切实际)。我想,这是我从目睹这一幕中学到的最大的教训之一。现在人们都在这样做,他们利用了与我们相同的自动化水平。一切都是脚本化的和自动的。一旦他们找到了一条进入的途径,他们会同时暴露出几个漏洞,给你的系统留下了那么多后门,一旦系统被破坏,就没有安全保障了。注意安全。即使你不认为这是你的工作,冰盾软件防御ddos多少g,它是。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/68134.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9025719访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X