免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 数据安全 【话题讨论】讨论网站安全问题 赢京东礼品卡(获奖名单 ...
123下一页
最近访问板块 发新帖
查看: 10784 | 回复: 23
打印 上一主题 下一主题

【话题讨论】讨论网站安全问题 赢京东礼品卡(获奖名单已公布-2013-8-8) [复制链接]

arron刘

论坛徽章:
8
巨蟹座 日期:2013-08-12 09:41:40IT运维版块每日发帖之星 日期:2015-12-09 06:20:00寅虎 日期:2013-12-25 14:59:40天秤座 日期:2013-12-06 14:04:55酉鸡 日期:2013-11-28 10:22:22水瓶座 日期:2013-08-26 15:40:54巨蟹座 日期:2013-08-12 09:42:01每日论坛发贴之星 日期:2015-12-09 06:20:00
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2013-07-16 10:55 |只看该作者 |倒序浏览

获奖名单已公布,详情请看:http://bbs.chinaunix.net/thread-4094069-1-1.html

目前互联网高度发展,我们的生活有很大一部分正在逐步转移到网络上。我们平时购物,理财等等一般都是在各种专业网站上实现的。那么这些网站的安全性如何呢?众所周知,网站安全是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。由于一个网站设计者更多地考虑满足用户应用,如何实现业务。很少考虑网站应用开发过程中所存在的漏洞,这些漏洞在不关注安全代码设计的人员眼里几乎不可见,大多数网站设计开发者、网站维护人员对网站攻防技术的了解甚少;在正常使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。那么怎么才能保证网站的安全呢?


讨论话题:
1、一个网站基本的安全措施有哪些?
2、一个网站的用户数据库被入侵的方式有哪些?
3、作为一个运维和管理人员应该如何防范用户信息被盗问题?


讨论时间:2013.7.16--2013.7.28


活动奖励:活动结束后将会抽取两名回复内容优秀的会员赠送50元京东卡一件。
京东, 网站
emperor9

论坛徽章:
4
CU十二周年纪念徽章 日期:2013-10-24 15:41:34丑牛 日期:2014-02-26 16:47:00技术图书徽章 日期:2014-03-06 15:39:16技术图书徽章 日期:2014-04-24 15:56:22
2 [报告]
发表于 2013-07-16 11:03 |只看该作者
本帖最后由 emperor9 于 2013-07-16 11:09 编辑

点评:
      坐在沙发上谈吐让本吊表示压力三大。第一大,lz的标题居然在一天之内发生了翻天覆地的变化,大有甩脱标题党沉重帽檐的气势,岁进步明显,但是一定要戒骄戒躁。二大,lz的论题的提出居然这么的有条理性,完全超越了一个普通逻辑推理的方程,仿佛得到了三蛋同学的指点。三大,网站的安全居然是运维人员的事儿,开发者都吃翔去了么???这里不得不说,文化是非常重要的事情,运维,顾名思义是运行维护的意思,和安全的设计与防范大约有3毛钱的关系,连5毛都没到。不说了,说多了都是毛
     
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
arron刘

论坛徽章:
8
巨蟹座 日期:2013-08-12 09:41:40IT运维版块每日发帖之星 日期:2015-12-09 06:20:00寅虎 日期:2013-12-25 14:59:40天秤座 日期:2013-12-06 14:04:55酉鸡 日期:2013-11-28 10:22:22水瓶座 日期:2013-08-26 15:40:54巨蟹座 日期:2013-08-12 09:42:01每日论坛发贴之星 日期:2015-12-09 06:20:00
3 [报告]
发表于 2013-07-16 11:18 |只看该作者
回复速度好快啊。专注CU100年回复 2# emperor9


   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
emperor9

论坛徽章:
4
CU十二周年纪念徽章 日期:2013-10-24 15:41:34丑牛 日期:2014-02-26 16:47:00技术图书徽章 日期:2014-03-06 15:39:16技术图书徽章 日期:2014-04-24 15:56:22
4 [报告]
发表于 2013-07-16 11:21 |只看该作者
@arron刘啊,话说回的太快,连奖品是甚都没注意。你娃昨个说超越三蛋来着。本吊本来有很多问题,现在问题只有一个:三蛋是50块就可以超越的么???
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
vkqo

论坛徽章:
0
5 [报告]
发表于 2013-07-16 11:44 |只看该作者
最主要的还是找一个非常好的主机商,能解决不少问题
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
arron刘

论坛徽章:
8
巨蟹座 日期:2013-08-12 09:41:40IT运维版块每日发帖之星 日期:2015-12-09 06:20:00寅虎 日期:2013-12-25 14:59:40天秤座 日期:2013-12-06 14:04:55酉鸡 日期:2013-11-28 10:22:22水瓶座 日期:2013-08-26 15:40:54巨蟹座 日期:2013-08-12 09:42:01每日论坛发贴之星 日期:2015-12-09 06:20:00
6 [报告]
发表于 2013-07-16 11:49 |只看该作者
慢慢来么,不着急不着急回复 4# emperor9


   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
guyeh

论坛徽章:
17
CU大牛徽章 日期:2013-03-13 15:32:352017金鸡报晓 日期:2017-02-08 10:33:21fulanqi 日期:2016-06-17 17:54:25lufei 日期:2016-06-17 17:38:40平安夜徽章 日期:2015-12-26 00:06:30冥斗士 日期:2015-11-25 14:38:112015年辞旧岁徽章 日期:2015-03-03 16:54:15亥猪 日期:2015-01-26 17:23:43CU大牛徽章 日期:2013-04-17 11:02:58CU大牛徽章 日期:2013-04-17 11:02:36CU大牛徽章 日期:2013-04-17 11:02:15CU大牛徽章 日期:2013-04-17 11:01:45
7 [报告]
发表于 2013-07-16 13:13 |只看该作者
安全就是开发人员必须要关注的工作,运维人员只能发现以前未发现的安全隐患。不关注安全的程序员是要命的。难道指望运维人员去改程序?

安全是在系统设计的时候就必须要考虑的,否则就是白扯。我们总是说要主动出击,如果不在设计的时候主动承担安全设计的工作,指望运维的时候来被动的修补,那么这个网站还有谁敢用哟。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
sguer

论坛徽章:
0
8 [报告]
发表于 2013-07-16 15:06 |只看该作者
从办公网络入手,再进入服务器系统。由于办公网络使用的人员复杂,比如有人喜欢休息时逛逛这个论坛,有人习惯上上那个网站。如果有人上了网站被挂了木马。或者收到含有木马的邮件并打开了。都有可能导致办公机器首先沦陷,而办公机器连服务器往往都很容易。后面大家可想而知。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
rover12421

论坛徽章:
39
白银圣斗士 日期:2015-11-24 10:40:40酉鸡 日期:2015-03-20 14:15:44寅虎 日期:2015-03-20 14:13:59午马 日期:2015-03-20 14:13:16白羊座 日期:2015-03-20 14:12:54金牛座 日期:2015-03-20 14:12:09双子座 日期:2015-03-20 14:11:57巨蟹座 日期:2015-03-20 14:11:44狮子座 日期:2015-03-20 14:11:29亥猪 日期:2015-03-20 14:16:24戌狗 日期:2015-03-20 14:16:40申猴 日期:2015-03-20 14:17:05
9 [报告]
发表于 2013-07-16 15:28 |只看该作者
1、一个网站基本的安全措施有哪些?
输入参数检查,防止sql注入。后台页面地址不用通用地址,防止猜测后台地址。禁止搜索引擎收入隐私页面,后台不要使用弱密码。特别注重安全的甚至可以加IP访问控制策略。协议尽量走https。web和db分离。db也要注意安全,少用默然端口,禁止外网访问。服务器上的其他应用也要注意是否有可利用的漏洞,比如server-u ftp
2、一个网站的用户数据库被入侵的方式有哪些?
web入口大部分是sql注入,也可能是上传漏洞导致上传了一个shell,权限控制不好容易被读取数据库配置文件,严重的直接可以控制服务器。还有xss攻击,诱骗管理员cookie,拿到后台访问权限
数据漏洞,弱密码等等。还有服务器被攻陷,那数据自然没安全可言了。
3、作为一个运维和管理人员应该如何防范用户信息被盗问题?
运维的话,关键还是定期坚持服务器是否有异常,不如系统文件是否被窜改,数据库是不是多了啥少了啥文件,端口开放是否异常,ftp是否有异常下载,防火墙是否被关闭,系统用户使用正常,有没有隐藏用户,伪装用户。
运维其实关键在服务器安全,如果服务器都不安全了,网站哪还有啥安全的
管理人员关键还是要把责任分配到人,特别是一些企业,密码管理松散,人人都能拿到管理密码,后台数据被篡改了都不知道是谁改的。
web自身的安全当然是开发者自己了。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
zhaopingzi

论坛徽章:
71
15-16赛季CBA联赛之同曦 日期:2018-08-23 15:41:42辰龙 日期:2014-08-15 09:07:43狮子座 日期:2014-06-03 13:55:33亥猪 日期:2014-06-02 11:17:08巨蟹座 日期:2014-05-06 10:02:03午马 日期:2014-05-04 08:18:27亥猪 日期:2014-04-29 11:11:32技术图书徽章 日期:2014-04-24 15:51:26技术图书徽章 日期:2014-04-17 11:01:53辰龙 日期:2014-04-15 12:45:46亥猪 日期:2014-04-11 09:06:23射手座 日期:2014-04-01 15:28:10
10 [报告]
发表于 2013-07-16 17:53 |只看该作者
一个网站基本的安全措施有哪些?

1.数据加密/解密
2.数字签名
3.身份认证
4.访问控制
5.防病毒系统
6.加强人员管理

一个网站的用户数据库被入侵的方式有哪些?

主要有如下:
1.强力(或非强力)破解弱口令或默认的用户名及口令
2.特权提升
3.利用未用的和不需要的数据库服务和和功能中的漏洞
4.针对未打补丁的数据库漏洞
5.SQL注入
6.窃取备份(未加密)的磁带

作为一个运维和管理人员应该如何防范用户信息被盗问题?

1.增强自己系统的安全性。从开发人员的安全开发技术培训,
防止诸如sql注入、xss等严重漏洞的出现。工作人员的安全意识的培养等。
设计系统的时候,要考虑到安全,如何加密,如何存储,如何传输,
如果一个子系统沦陷了会不会导致其他子系统沦陷等等。
2.审计要做好。事前及时发现异常。事后发现漏洞。
3.对外合作、三方软件等使用须谨慎。不要让自己不可控的东西成为自己的安全短板。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP