有些人可能認(rèn)為，在線安全正在朝著更壞的方向改變。隨著Web設(shè)備在企業(yè)中流行開來，它們也成為黑客的寵兒。

由于越來越多的公司網(wǎng)站運(yùn)行Drupal等開源設(shè)備且運(yùn)用由WordPress技術(shù)支持的企業(yè)博客，可能遭受攻擊和承受高代價(jià)利用的受害者也越來越多。960網(wǎng)格系統(tǒng)和Learning jQuery都費(fèi)勁地學(xué)習(xí)過這一課。在這些公司嚴(yán)肅地看待固化開源平臺之前，令人尷尬且代價(jià)及高的攻擊造成了大破壞。其它沒有采取適當(dāng)預(yù)前措施來隔絕這些危脅的公司會面臨相同的命運(yùn)。

如果你已經(jīng)考慮把開源設(shè)備作為企業(yè)的一部分，我們這里為你列出了一些開源Web設(shè)備造成的安全故障并提出了解決方案。

開源Web設(shè)備中的常見故障

像你一樣，黑客喜歡開源設(shè)備免費(fèi)且容易訪問給定“開放”源代碼這些優(yōu)點(diǎn)。舉例來說，如果黑客能部署腳本來盜取信息或控制單一硬件上的Web設(shè)備，他很容易就能復(fù)制這些破壞性的結(jié)果來影響用戶或分享同一代碼庫的多個(gè)網(wǎng)站。以下是原因：

很多開源設(shè)備依賴于容易被利用的老版腳本語言。插入開源設(shè)備的模塊必須和總項(xiàng)目分開來維持。由于沒有修補(bǔ)，這些模塊會造成整個(gè)設(shè)備的問題。

小一些的開源項(xiàng)目通常在長時(shí)間都是未修補(bǔ)的狀態(tài)。這個(gè)擴(kuò)展的窗口讓你的文件處于被利用的高度危險(xiǎn)中。

黑客創(chuàng)建專門造成設(shè)備故障的僵尸程序。當(dāng)孜孜不倦的“工人”大軍日以繼夜地嘗試著參透密碼時(shí)，很容易就完成了利用。

鎖定管理級特權(quán)是讓網(wǎng)絡(luò)盜賊能夠輕易危害代碼的常見疏忽。XML-RPC之類的程序調(diào)用被頻繁利用，跨站腳本攻擊和SQL注入攻擊常給開源平臺帶來麻煩。

鎖定開源Web設(shè)備

了解就成功了一半，鎖定開源Web設(shè)備的策略很多。為了在你的在線業(yè)務(wù)獲得成功并得到終端用戶的信任，適當(dāng)?shù)谋Ｗo(hù)很重要。

讓我們用兩個(gè)公司范例來做背景，討論一下常見的開源破壞及我們?yōu)檫_(dá)更好的保護(hù)級別所能做的事情。

當(dāng)運(yùn)行Textpattern CMS時(shí)，960網(wǎng)格系統(tǒng)經(jīng)歷了危害操作系統(tǒng)的攻擊。破壞給這些壞人提供完全的服務(wù)器和FTP訪問，一旦黑客進(jìn)入，他們上載了到網(wǎng)站的惡意且令人尷尬的圖片，目的是造成不良的搜索引擎優(yōu)化利益。這類攻擊很難發(fā)現(xiàn)，因?yàn)閷苍L客來說，這個(gè)網(wǎng)站表面上運(yùn)行平衡正確。運(yùn)行開源Web設(shè)備時(shí)，有大量技巧可以保護(hù)960網(wǎng)格系統(tǒng)不受這些問題的危害：

設(shè)備固化（包括操作系統(tǒng)和數(shù)據(jù)庫）。操作系統(tǒng)和數(shù)據(jù)庫安裝應(yīng)該仔細(xì)完成。避免默認(rèn)設(shè)置并保持嚴(yán)格的許可控制。重命名文件擴(kuò)展名來掩飾設(shè)備類型，并移除所有非必要的功能及特征以關(guān)閉盡可能多的虛擬“漏洞”。另外就是補(bǔ)丁、補(bǔ)丁再補(bǔ)丁了。特別是在開源環(huán)境中，更新成功防止了危害。相同的規(guī)則還應(yīng)用在腳本語言中，這些語言可能在服務(wù)器上運(yùn)用。服務(wù)器固化。移除信息（如應(yīng)答標(biāo)題），它們可能幫助僵尸程序或攻擊識別服務(wù)器上運(yùn)行著的設(shè)備版本及類型。頻繁修補(bǔ)并執(zhí)行服務(wù)器日志的人工檢查會幫助識別不尋常狀況。

強(qiáng)有力的密碼和訪問控制。使用包含數(shù)字、大小寫字母和特殊字符的密碼，千萬不要用字典術(shù)語。此外，有規(guī)律地重置它們。控制到管理密碼的訪問并只根據(jù)需求授予數(shù)據(jù)庫證書。決不要使用數(shù)據(jù)庫用戶的SA或根帳戶，限制所有公共及端口訪問來設(shè)置管理員區(qū)域，并禁止向除了80/443之外的的任何端口開放服務(wù)器，這些在各自通過HTTP/HTTPS傳遞網(wǎng)頁時(shí)都很需要。

系統(tǒng)日志監(jiān)控。密切關(guān)注你的系統(tǒng)日志并確保沒有成功的非法登錄情況。運(yùn)行故障審計(jì)并有規(guī)律地（最少一季一次）瀏覽你的設(shè)備來迅速地幫助識別威脅、破壞和可疑活動(dòng)。

Learning jQuery是FireHost的一位客戶，它經(jīng)歷了一次完全不同類型的攻擊：SQL注入攻擊，這種攻擊利用WordPress數(shù)據(jù)庫層的開源安全故障。WordPress和其它內(nèi)容管理系統(tǒng)（CMS）供應(yīng)商一直在為領(lǐng)先于SQL注入故障不懈努力，它們通過修補(bǔ)來前瞻性地確定故障。不幸的是，Learning jQuery的網(wǎng)站是這個(gè)問題的早期受害者。

周期性地，當(dāng)CMS供應(yīng)商還在努力保持領(lǐng)先位置時(shí)黑客也在創(chuàng)新和適應(yīng)。Web設(shè)備防火墻（WAF）幫助縮小黑客創(chuàng)新和CMS供應(yīng)商修補(bǔ)程序之間的差距。WAF在它能得到代碼并阻止可疑訪客獲取服務(wù)之前檢查Web流量。當(dāng)WAF與入侵防護(hù)、偵測系統(tǒng)和其它網(wǎng)絡(luò)級屏障協(xié)作時(shí)，阻止攻擊的能力以指數(shù)方式增長。如果這類網(wǎng)絡(luò)層防護(hù)已經(jīng)在適當(dāng)?shù)奈恢?，Learning jQuery的網(wǎng)站也許不會遭受惡意攻擊的猛攻。

避免開源Web設(shè)備破壞

開源內(nèi)容管理系統(tǒng)的增長和普及改變了安全形勢并讓這個(gè)過程更危險(xiǎn)。但是有些開發(fā)者或技術(shù)工程師已經(jīng)有確保Web設(shè)備（及它們的托管環(huán)境）安全的經(jīng)驗(yàn)，有了他們的幫助，你就能實(shí)施這些方法并阻止網(wǎng)絡(luò)盜賊的入侵。有適當(dāng)?shù)念A(yù)防措施、注意細(xì)節(jié)且保證維持開源網(wǎng)站，公司的開源Web設(shè)備運(yùn)用一定會成功且卓有成效。