您当前的位置:首页 > 范文写作 > 写作

使用云服务器时的几个防护技巧

时间:2022-03-17 09:31:14  来源:  作者:倔强的小蚁YcsW

云服务器的使用越来越广泛,愈加受到众多企业的青睐,那么,在使用过程时如何更好的做好防护措施呢?小蚁君来说说。

1.随时检查系统安全漏洞,安装系统补丁。不管是windows还是linux,操作系统都会有漏洞,及时装上补丁,避免被不法分子恶意利用攻击.

2.安装并升级杀毒软件。目前网络上的病毒越加猖獗,随时会影响到网站服务器的安全,因此,系统要安装上杀毒软件来提前预防病毒的传播,并定期检查升级杀毒软件,自动更新病毒库。

3.定期对服务器数据进行备份。为预防突发的系统故障而导致的数据丢失,平时就要定期对系统数据进行备份,同时,重要的系统文件建议存放在不同的服务器上,以便系统出故障时能将损失降到最低。

4.定期对账号密码进行修改保护。账号和密码保护可以说是服务器系统的第一道防线,目前大部分对服务器的网络攻击都是从密码开始的,一旦不法分子截获了密码,那么前面所做的所有安全防护措施都将失去了作用。

5.关闭不常用的服务和端口。服务器操作系统在安装时,会启动一些不需要的服务,不仅占用了系统的资源,还会增加系统的安全隐患。因此,定期检查系统运行中的软件和服务,没有使用的就关闭掉。

做了那么多,那么要怎么样才能避免一些低级的黑客攻击呢?

小蚁君网络了一些方法以及应对的措施

常见攻击手段

1、针对网站

1.1、SQL注入

sql注入也是老生常谈了,基本上算是常识了,这种手段无非是利用后台漏洞通过URL将关键SQL语句带入程序并在数据库中执行从而造成破坏性结果。常见情况包括后台使用了的致命的字符串拼接,比如在JAVA的jdbc中使用如下写法

String sql = "select * from t_user where username = "+username;

1

如果入参username在url中被换成不怀好意的sql语句或者其他,数据库也就危险了。

localhost:8080/testproj/queryUser?username=;drop%20t_user;

此外,类似的MyBatis的${}写法也是同样道理,最好换成#。

1.2、后台框架、协议漏洞

利用框架协议漏洞则是针对程序和系统缺陷,比如漏洞百出的struts2框架,到今天为止也不知道放出多少漏洞了,这些漏洞基本上是针对EL表达式缺陷使得URL中的代码得以执行,针对方式也很简单,换掉struts2或者不断升级。应对这种情况就需要运维人员关注漏洞公告,及时与开发沟通配合,更新程序,代价成本也比较高。这里也推荐可以使用一些漏洞扫描工具,及时发现自己网站的后门,防范于未然。比如Ac.NETix Web Vulnerability Scanner还是挺好用的。

1.3、程序逻辑漏洞

这个就需要黑帽子们比较有耐心,去一点点找出来,举个例子,网站有效性校验。针对数值有效性,前端有进行过滤,但是网站后台没有做参数有效性校验,这时候恶意者使用F12或postman等拼装ajax请求,将dfa或者-1ad这种非法数字发送给后台,健壮性差的程序就很容易报错,异常暴露到页面上,瞬间就能让操作者知道后台使用何种语言何种框架。更严重的可能是利用程序逻辑漏洞做重复提交、越权操作等行为,因此需要开发人员注意。

1.4、CSRF攻击

这种手段就比较高明了,需要黑帽子会构建钓鱼网站,且对目标网站请求方式比较熟悉。原理就是利用浏览器保存的cookie,比如我登录目标会员网站(这里假设http://www.huiyuan.com),利用留言功能留下一个钓鱼网址,可能管理员就点了进去,跳转到我构造的网页后触发页面的请求,该请求要增加一个管理员用户

http://www.huiyuan.com/account/addUser?username=god&password=123456&role=1

这个时候浏览器还携带着管理员登录的cookie因此该行为得到执行,我就获得了一个管理员用户,当然这么蠢的网站一般是不存在的,这里只是打个比方。

防范手段比较常见的是url携带token进行校验,这种手段还可以防御cookie被篡改,盗用等情况,相当的万金油。

1.5、暴力破解

直接采用密码表暴力破解方式强行登录管理员账户,这个没啥技术含量,开发人员做好验证码校验以及恶意攻击校验,频繁请求IP封禁即可。

2、针对服务器

2.1、服务器登录用户、数据库登录用户爆破

黑帽子有多种手段确定后台数据库,比如1.3中直接让后台报错,很容易就发现了后台使用的什么框架,连得啥库。又或是使用nmap 等工具直接开扫,目标服务器暴露3306端口大概率就确定是MySQL了。确认了数据库类型以及端口接下来就是采用密码表暴力破解了,很多安全意识差的密码居然还是root,123456之类的,分分钟被暴,而扫到后台服务器22开放端口也可以确认后台服务器使用linux开放ssl登录。所以应对方式有三种:

mysql限制访问IP,这个利用alter user语句就可以做到,root账户尽量只给localhost权限,慎用user@%;

不要使用弱密码,尽量采用字母+数字+特殊字符的密码;

服务器使用放暴力破解服务,可以针对非法访问恶意操作进行锁IP防御。

2.2、服务器端口漏洞

通过nmap很容易扫描到服务器暴露的端口,比如139端口外露,就有大量的手段可以渗透:

net use ipipcContent

nbsp;”” /user:administrator

所以应对手段也很简单,开启防火墙,且只开放有需要的端口,敏感端口如139,445不要外露。

2.3、操作系统漏洞

虽然大部分公司都采用linux作为服务器,相对安全得多,但是还是有不少公司(至少博主见过挺多的)还在使用windows server,大量的漏洞让服务岌岌可危,应对方式也很简单粗暴,该打的补丁就打,不要偷懒。

2.4、木马植入

这个就是黑客直接通过向服务器种植木马,开启后门,取得服务器控制权,应对方式主要以下三点:

1、不要用服务器访问乱七八糟的网站(尤其是公司服务器在国外的,不要想着借来翻墙了,别作死),下载乱七八糟的东西;

2、实体机的移动外设接入前注意杀毒;

3、服务器安装相应安全产品,定期查杀木马,定期更新漏洞补丁;

4、防火墙注意开启,相应端口注意配置。

做到以上几点,基本上中级以下的黑客是进不来了,就算是中高级的黑客也得费一番功夫。当然,如果公司服务器数据涉及资产非常高,建议直接联系小蚁君



Tags:云服务器   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
云服务器常见的操作系统有哪些?
云服务器一般安装什么系统?云服务器是一种基于云计算技术的虚拟服务器,它具有灵活、可扩展和高可用性的特点。在选择云服务器时,安装什么系统是一个重要的考虑因素。不同的云服...【详细内容】
2024-01-04  Search: 云服务器  点击:(129)  评论:(0)  加入收藏
香港云服务器:全面介绍与使用场景分析
这几年基于国内互联网技术的发展,各类海外贸易的兴起,很多网站都启用了海外云服务。这其中,香港的 IDC 市场异常火爆。也不奇怪,就目前来看,国内大多数网站的访问用户在国内外均...【详细内容】
2023-12-08  Search: 云服务器  点击:(128)  评论:(0)  加入收藏
云服务器IOPS限制是什么,怎么解决磁盘IOPS限制
随着云计算技术的不断发展,越来越多的企业和个人选择使用云服务器来托管他们的网站、应用程序和其他数据。然而,在使用云服务器的过程中,一些用户可能会遇到IOPS(Input/Output...【详细内容】
2023-12-06  Search: 云服务器  点击:(146)  评论:(0)  加入收藏
云服务器同时连接数突然变高是什么原因
云服务器同时连接数突然变高,导致服务器负载增加,响应时间变长,严重影响了网站的正常运营。为了解决这个问题,我们首先需要了解 云服务器同时连接数变高的原因。一、网络攻击网...【详细内容】
2023-11-30  Search: 云服务器  点击:(151)  评论:(0)  加入收藏
亚马逊云服务器国际站代理商:amazon云服务器价格怎么样?
亚马逊云服务器(Amazon Web Services,AWS)是全球领先的云计算服务提供商之一,拥有广泛的产品和解决方案,提供丰富的功能和灵活的计费方式。下面是关于亚马逊云服务器的优势以及找...【详细内容】
2023-11-29  Search: 云服务器  点击:(170)  评论:(0)  加入收藏
什么是服务器、云服务器、云主机、虚拟主机和虚拟空间?
服务器:通常指物理服务器,简单的可以把它理解为一台“电脑”,所有网站的程序都在这个“电脑”上运行云服务器:通过虚拟化技术,将一台独立服务器虚拟成多个小的服务器,每个云服务器...【详细内容】
2023-11-10  Search: 云服务器  点击:(176)  评论:(0)  加入收藏
云服务器应用优势分析,你知道有哪些有事吗?
随着云计算、物联网等新兴技术的蓬勃发展,越来越多的企事业单位开始将IT业务逐步向云服务器转移。企业上云已成为趋势。加快信息化进程,业务上云。对于企业用户来说,云服务器在...【详细内容】
2023-11-02  Search: 云服务器  点击:(204)  评论:(0)  加入收藏
云服务器是干什么的?它和传统服务器有什么区别?
云服务器是基于云计算技术的一种虚拟服务器,它可以通过互联网实现各种计算和存储任务。与传统服务器相比,云服务器具有以下几个区别:首先,云服务器无需在物理设备上进行部署,而是...【详细内容】
2023-08-31  Search: 云服务器  点击:(287)  评论:(0)  加入收藏
亚马逊云服务器怎么注册使用?
在如今数字化时代,越来越多的企业和个人开始意识到云计算的重要性,而亚马逊云(Amazon Web Services,简称AWS)作为全球领先的云服务提供商之一,受到了广泛关注。那么,对于初次接触亚...【详细内容】
2023-08-08  Search: 云服务器  点击:(233)  评论:(0)  加入收藏
云服务器最基础的安全配置,没有之一
随着公有云服务器的日渐普及,安全问题也就日益突出,本文就来简单讲述一下,云服务器最基础的安全配置。在IT建设方面,安全是至关重要的,但是再高级的安全策略也是从最基础的、最简...【详细内容】
2023-07-01  Search: 云服务器  点击:(208)  评论:(0)  加入收藏
▌简易百科推荐
软文写作技巧:从企业和用户角度分析软文写作方法
在当今信息爆炸的时代,软文作为一种有效的传播手段,越来越受到企业和品牌的高度重视。一篇高质量的软文不仅可以提升企业和品牌的形象,还可以为企业带来潜在的客户和市场份额。...【详细内容】
2024-03-12  易华合讯    Tags:软文写作   点击:(17)  评论:(0)  加入收藏
怎样让ai改写一篇爆款文章呢,改写文章怎么改
随着人工智能技术日新月异,AI(Artificial Intelligence)已全方位改变着我们的生活。它在医疗、金融及文化娱乐等广泛领域都起到了关键作用。那么,我们应如何运用此技术来笔化佳...【详细内容】
2024-01-10  月羽    Tags:ai改写   点击:(45)  评论:(0)  加入收藏
自书遗嘱模板(最新版),建议收藏
自书遗嘱不需要公证,不需要见证人。但自书遗嘱有7点需要特别注意,缺一不可,否则遗嘱很有可能无效。写清楚本人是在头脑清醒,具有民事行为能力的前提下书写的。自书遗嘱一定要自...【详细内容】
2023-12-20  隐身的魔魔法师     Tags:遗嘱   点击:(65)  评论:(0)  加入收藏
如何打造吸引人的头条爆款文章?
在当今信息爆炸的时代,如何让你的文章在海量内容中脱颖而出,吸引读者的眼球?一个吸引人的标题显得至关重要。本文将向你分享一些实用的标题写作技巧,帮助你打造吸引人的头条爆款...【详细内容】
2023-12-03  高梦文    Tags:爆款文章   点击:(57)  评论:(0)  加入收藏
聊聊关于AI智能论文辅导写作工具
关于AI智能论文辅导写作工具,我是一直在关注的,之所以写不出来,是因为……自己的脑子在耍懒。自己的新文案每天都要绞尽脑汁,所以实在无力再创作。说到这点,不得不提...【详细内容】
2023-09-19  维他吴系奶    Tags:论文   点击:(72)  评论:(0)  加入收藏
写 PPT 并不是一件容易的事情
职场中有种说法是,“会做 PPT 者得天下”。会做且做好 PPT ,到底有多重要?百度一设计总监曾因在国际体验设计大会上展示的 PPT 太丑,让百度产生了严重的危机公关,导致股价暴跌,他...【详细内容】
2023-09-17    PPT  Tags:PPT   点击:(70)  评论:(0)  加入收藏
技术交底书包括了哪些?
技术交底书是一种重要的文件,用于记录和交代某项技术工作的基本情况和步骤。本文旨在探讨技术交底书所包括的内容。1、技术交底书应该包括背景和动机。这一部分应该清楚地说...【详细内容】
2023-09-14  Tocheck企事业查重    Tags:技术交底书   点击:(84)  评论:(0)  加入收藏
值得一读的正能量句子,每句话都有内涵,充满阳光
一*生活中,空城里总有一些旧事,青春正值青春;总有一些季节,有凉花开的季节,也有满地悲伤的季节。很多事情,只要你去看,就会发生转变;许多梦,轻轻一望,云开日出。学会思考,学会欣赏,微笑...【详细内容】
2023-08-24  小冰说星座    Tags:句子   点击:(92)  评论:(0)  加入收藏
如何写大学申请文书,申请文书如何更出彩?|CB独家干货
很多准备出国留学的学生都有为准备大学申请文书而抓耳挠腮的经历。本文将详细说明如何准备一份出色的大学申请文书。什么是大学申请文书?许多大学都要求学生提交一篇由自己...【详细内容】
2023-07-09  Elite精英留学    Tags:申请文书   点击:(105)  评论:(0)  加入收藏
盘点杜蕾斯那些神级文案,撩到你腿软了吗
估计微博上真没人玩的过杜蕾斯了。如果要说蹭热度谁最厉害,那么在文案圈它就是首屈一指的存在。杜蕾斯在文案创意上的造诣是人尽皆知,它不仅有大众化热点,也会有一些“正向价值...【详细内容】
2023-05-25  思维档案    Tags:文案   点击:(159)  评论:(0)  加入收藏
站内最新
站内热门
站内头条