避免常见Web安全漏洞的4条提示

本文概述

  • 不要使用陌生人的随机代码
  • 加密敏感信息
  • 付款处理
  • 立即修补
如今, 由于多次发布新闻的黑客事件, Web安全变得越来越流行。
但是令人沮丧的是, 尽管有很多关于该主题的文章, 但是企业和小型网站在以正确的方式处理事情时都容易避免可避免的错误。
为了确保网站安全, 只需采取正确的步骤即可。
【避免常见Web安全漏洞的4条提示】我们来看一下。
不要使用陌生人的随机代码 GitHub, Sourceforge和Bitbucket等网站上公开发布的存储库中的随机代码可能带有恶意代码。
避免常见Web安全漏洞的4条提示

文章图片
通过一些聪明的想法来保存自己的方法。你可以在维护模式下部署代码, 并在发布之前查看其工作方式。
这样一来, 你可以避免数百小时的头部碰撞。
不采取任何预防措施可能会导致恶意代码接管你的站点, 并导致你放弃站点的管理特权并失去辛苦的工作。
切勿在互联网上复制随机陌生人的粘贴代码。对人员进行一些研究, 然后继续审核你得到的代码。
你可能会觉得你可以节省一些复制粘贴代码的时间, 但是一次犯错就足以应付很多麻烦。
例如:易受攻击的WordPress插件会恶意代码, 这些恶意代码可以控制你的网站或以不太重要的方式危害该网站, 例如插入指向第三方网站的跟踪链接和虹吸链接汁。
此类链接通常仅在Googlebot访问该网站时出现, 而对于所有常规访问者而言, 该链接仍然不可见。
Charles Floate和Wordfence联手引用了许多WordPress插件漏洞的最新示例。
这种骗局的工作方式是, 一些恶意的SEO向WordPress插件所有者发送外发电子邮件, 而这些插件的插件已经有一段时间没有更新了。
他们提供购买插件, 然后对该插件运行更新。
大多数人从不费心检查插件中已更新的内容。他们太多了, 他们一出现就会运行更新。
但是在这种情况下, 该插件将创建对SEO网站或客户网站的后门访问。现在, 使用该插件的所有站点都无意中成为PBN网络的一部分。
其中一些插件的有效安装次数超过50000。实际上, 列出的插件之一是在我的网站上使用的, 到目前为止, 我对后门一无所知。
这些插件还使他们可以对受影响的站点进行管理访问。
他们很可能使用此方法接管竞争对手的站点, 并且不对其进行索引, 从而有效地使其在SERP中消失。
加密敏感信息 当你处理敏感数据时, 切勿将其视为理所当然。
加密敏感数据始终是更明智的选择。围绕客户的个人信息和用户密码属于此类别。
为此, 应使用强大的算法。
例如, AES 256是最好的之一。美国政府本身认为, AES可以用于加密和保护机密信息, 并且引擎盖背后的密码已由NSA公开批准。
AES包含以下密码:AES-128, AES-192和AES-256。每个密码以128位块的形式对数据进行加密和解密, 并提供增强的安全性。
如果你正在运行一个基于成员的网站, 电子商务, 接受付款, 则必须使用TLS证书保护你的网站。
用户数据应始终受到保护。
避免常见Web安全漏洞的4条提示

文章图片
通过不安全的连接接受用户数据总是使黑客有机会窃取宝贵的数据。
付款处理 存储信用卡信息的问题是你成为目标。
Sonic Drive-In公开宣布破坏公司服务器导致数百万张信用卡和借记卡被盗。
其他餐馆, 例如Chipotle和Arby’ s的自助餐厅, 也遭受了类似的黑客攻击。
有时, 你需要接受信用卡信息并将其保存以进行定期结算。这要求你提出PCI投诉。
避免常见Web安全漏洞的4条提示

文章图片
遵守PCI是一项艰苦的工作。
你不仅需要精通PCI的人员, 而且还需要更新站点和数据库以经常保持合规性。
合规性不是一次性的要求, PCI会定期对其进行更改以应对新出现的威胁。
取而代之的是, 你可以跳过最困难的部分, 而选择像Stripe这样的付款处理器来为你完成繁重的工作。
它们很大, 有全天候可用的支持, 而且是PCI投诉。
而且, 如果你正在运行在线商店, 则可以考虑使用Shopify。
如果确实要存储信用卡信息, 请特别注意存储信用卡信息的文件和存储它们的硬件都应保持加密。
立即修补 这里有一个例子可以说明我的观点。
避免常见Web安全漏洞的4条提示

文章图片
资源
2017年3月7日, 发现了通过破坏Apache Struts起作用的零日漏洞。
到3月8日, Apache发行了补丁来解决该问题。但是, 发布补丁和公司采取行动之间需要很长时间。
Equifax是被黑的公司之一。
Equifax在一份声明中表示, 2017年9月7日, 黑客窃取了1.43亿客户的个人信息。
黑客利用了我们上面讨论的相同的应用程序漏洞来进入系统内部。
该漏洞位于Apache Struts中, Apache Struts是用于构建基于Java的Web应用程序的框架。
当Struts将数据发送到服务器时, 黑客利用了这一事实, 他们可能会破坏该数据。黑客使用文件上传来触发漏洞, 使他们能够发送恶意代码或命令。
据该公司称, “ 顾客姓名, 社会安全号码, 出生日期, 地址, 在某些情况下还包括驾驶执照号码” 以及” 约209, 000名消费者的信用卡号码” 。除此之外, 还窃取了包含个人信息的182, 000个信用争议文件。
结论思想
如你所见, 了解技术的变化并及时更新你的软件补丁和一些事后了解通常通常足以应付大多数麻烦。

    推荐阅读