В сегодняшнюю цифровую эпоху в Интернете существует потрясающее множество инструментов для создания веб-сайтов, таких как WordPress, Halo и т. д. Вы можете легко развернуть свой любимый веб-сайт в общедоступной сети одним щелчком мыши. Однако за этим скрывается множество рисков сетевой безопасности.
В темных уголках Интернета всегда есть люди со злыми намерениями, шныряющие по вашему сайту. Обычно они не уничтожают веб-сайт напрямую, а крадут данные и продают их бандам мошенников или получают инструкции от конкурентов о проведении DDoS-атак, что делает невозможным доступ обычных пользователей к веб-сайту. Существует также более скрытый метод, который заключается в использовании уязвимостей в инструментах с открытым исходным кодом для внедрения скриптов или даже использования серверов для майнинга. Большинство инструментов для создания веб-сайтов с открытым исходным кодом не идеальны с точки зрения сетевой безопасности, поэтому мы должны повышать осведомленность о предотвращении. Прежде чем использовать инструменты с открытым исходным кодом, найдите их обзоры рисков безопасности и постарайтесь избегать версий и вторичных проектов разработки с рисками безопасности. Для критически важного для бизнеса кода к безопасности данных следует относиться серьезно. Например, в проекте веб-сайта электронной коммерции было обнаружено, что первоначальный автор не смог перехватить рейтинги и несанкционированный доступ, в результате чего учетная запись магазина B смогла получить операционные данные магазина A, изменив идентификатор магазина в разместить запрос. Такие утечки данных, если они будут раскрыты, могут не только нанести ущерб бренду компании и доверию клиентов, но и подвергнуть компанию юридической ответственности. Видно, что сетевая безопасность очень важна, и здесь нет места неряшливости.
Учитывая, что многие люди не разбираются в программировании и не имеют соответствующего опыта, неизбежно использование профессиональных инструментов для обеспечения сетевой безопасности. Сегодня я хотел бы порекомендовать вам отечественный артефакт WAF, занимающий первое место на GitHub — Leichi WAF. Это тоже инструмент, который я использую. Его адрес GitHub содержит подробное описание проекта и типы защитных атак. Далее рассмотрим этапы установки: у китайских пользователей есть отдельный метод установки, предусматривающий автоматическую установку и установку вручную. Выбираем автоматическую установку и копируем команду LTS версии в консоль для выполнения. Установка занимает около двух-трех минут. После этого вам необходимо настроить правила выпуска для порта 9443, на примере Alibaba Cloud. Другие облачные серверы работают аналогично. После завершения установки откройте панель управления Leichi в своем браузере, а затем настройте сайты, которые необходимо защитить. Вы можете добавить один или несколько сайтов в зависимости от реальной ситуации. Здесь следует отметить, что если вы хотите, чтобы пул Thunder и веб-сайт находились на одном сервере, порт пула Thunder должен быть установлен на 80 или 443, а порт бизнес-сайта, возможно, потребуется изменить, если они; находятся на разных серверах, проблем с занятостью портов нет, и порт можно установить по желанию. Схематическая диаграмма, представленная на официальном сайте, ясно показывает, что Leichi вмешивается в виде обратного прокси-сервера, получает трафик раньше сервера коммерческого сайта, обнаруживает и очищает его от атак и, наконец, пересылает очищенный трафик на сервер коммерческого сайта. Чиновники рекомендуют размещать майнинг-пулы и коммерческие сайты отдельно, чтобы избежать взаимного влияния.
После завершения настройки мы провели серию тестов майнинг-пула. Первый — это запрос SQL-инъекции, который был успешно перехвачен Leichi, и перехваченная страница имела особый стиль; также были перехвачены обычные действия сканеров, извлекающих данные веб-сайта, включая хакерские атаки; Leichi успешно перехватила кражу CSRF-атак, которые идентифицируют и отправляют незаконные запросы, а также атаки десериализации Java, использующие уязвимости десериализации для внедрения вредоносных кодов или команд. Из-за ограниченного времени здесь демонстрируются только эффекты перехвата некоторых атак. Лей Чи может перехватывать различные атаки, и в будущем его будут совершенствовать и совершенствовать. Рекомендуется самостоятельно испытать дополнительные стратегии защиты.
Для предприятий или пользователей с более высокими требованиями Leichi предлагает профессиональную версию. Помимо функций версии с открытым исходным кодом, профессиональная версия также имеет множество расширенных игровых возможностей. Например, с помощью расширенных статистических функций пользователи могут просматривать состояние защиты WAF в различных временных измерениях, а отображаемые индикаторы становятся более многочисленными и профессиональными. Настраиваемые страницы перехвата можно загружать в соответствии с различными сценариями перехвата, что значительно улучшает удобство работы пользователей. Например, страницу 404 можно использовать для поиска пропавшего ребенка. Информация, интерфейс взаимодействия человека с компьютером или скользящая кодовая страница проверки и т. д. Также имеется восходящая функция балансировки нагрузки для защиты сайта, которой нет в версии с открытым исходным кодом. Когда внутренние серверы распределены и имеется много узлов, вы можете настроить алгоритм балансировки нагрузки для равномерного распределения трафика и эффективного улучшения общей пропускной способности. Что касается режима производительности механизма обнаружения, версия сообщества имеет максимальное количество запросов в секунду 2000 и может быть только однопоточной, тогда как профессиональная версия поддерживает многопоточность. Теоретически, чем выше конфигурация, тем больший QPS она может себе позволить, а это десятки тысяч.
Чтобы дать каждому возможность испытать профессиональную версию Лэй Чи, автор связался со студентами в Чантине и спросил, можно ли раздать партию квот опыта (CJ) в форме лотереи. Неожиданно Чантин с готовностью согласился. Если у вас в настоящее время есть потребности в этой области, вы можете воспользоваться этой возможностью и принять участие. Способ принять участие очень прост: просто оставьте сообщение «Leichi Professional Edition» в области комментариев. Результаты лотереи будут объявляться динамически. Всем удачи заранее. В то же время я также надеюсь, что друзья, которые его используют, смогут высказать более ценное мнение, что имеет решающее значение для развития Leichi и даже отечественного WAF.
Я надеюсь, что благодаря приведенному выше введению каждый сможет получить более полное представление о Leichi WAF, обратить внимание на сетевую безопасность и защитить свои собственные веб-сайты. Если у вас есть другие вопросы о сетевой безопасности или Leichi WAF, оставьте сообщение в области комментариев для обсуждения. Не забудьте поделиться этой статьей, чтобы больше людей обратили внимание на сетевую безопасность.
Опубликовать в Twitter Опубликовать в Facebook
Indie123
Комментарии
Пока комментариев нет