ddos防御_防御ddos攻击软件_原理

ddos防御_防御ddos攻击软件_原理

大公司花费数十万英镑,在某些情况下,他们雇佣了专门的团队来管理和确保环境的安全。但是作为一个小的电子商务商人,谁来负责你的环境的安全呢?在大多数情况下,小型电子商务企业会选择将其网站的所有开发工作外包给专门从事电子商务环境的专业人士,抗ddos防御,但开发人员是否应该负责网络安全以及环境的开发和管理? 关于谁应该为环境安全负责的争论是电子商务网站上信用卡违规事件发生的最大原因之一。安全因素已经溜进了商家和开发商之间的鸿沟——随着时间的推移,它变得被忽视了。这些简单的措施,如用户帐户管理、密码轮换、日志监视和检查入侵检测警报,可以识别出攻击的早期迹象,从而可能完全防止入侵在很多情况下,安全问题都被彻底检查过了,直到为时已晚,不考虑攻击者如何查看您的网站。一个不幸的事实是,您信任的构建和管理您的网站的人可能从未被教导采取安全思想,并通过恶意用户的眼睛查看他们的工作。例如,开发人员通过提供web应用程序默认的404错误页来管理任何未知的页面请求。这有什么问题?好吧,对任何真正的用户来说-什么都没有。另一方面,对于攻击者来说,它提供了有关您的环境的重要信息。图1:Nginx web应用程序的默认404返回页攻击者现在知道你正在运行的web应用程序和版本号。是时候访问黑客知识书了:"谷歌"。图2:搜索引擎的热门搜索结果示例古戈尔,搜索"Nginx 1.2.1漏洞" 一些最常见的疏忽在Foregenix进行的许多法医调查中,电子商务环境的安全立场只是简单的疏忽,提供了最初的攻击载体,最终导致了漏洞其中包括:基于Web的管理访问位于默认URL上,或使用一个易于猜测的URL。登录页面也可以公开访问。向攻击者返回有用信息的错误页。未使用的默认应用程序仍然可用,例如RSS提要或文件上载功能。共享用户凭据。提供给第三方的用户凭据,在不需要时保持活动状态。没有用户管理策略;过时的用户帐户保持活动状态,并且没有采用特权最小的策略。没有密码管理策略,包括不考虑密码的复杂性或轮换性。修补和维护最新的环境。没有漏洞测试。没有监控日志文件或入侵检测系统。缺少适当的日志文件。缺乏入侵检测系统,如文件完整性监控、Web应用防火墙等。PCI DSS明确地将环境安全责任交给了商家,除了确保任何第三方也在符合PCI DSS的庄园内运营的责任之外,作为一个小型电子商务企业,这可能是一个令人生畏和令人困惑的前景,因为您几乎没有或根本没有知识或经验。因此,许多小型电子商务商人都将他们的信任放在开发公司提供"完整的电子商务软件包"。不幸的是,安全性经常被忽视,ddos攻击原理与防御方法,没有被考虑,或者落入开发者、商家和其他任何第三方(如托管提供商)之间的鸿沟。当安全性成为每个人的首要考虑时,已经太晚了。攻击者已经可以访问在这种情况下,信用卡数据被盗,您的收单银行要求您接受支付卡行业的法医调查(PFI)。但是,在这种情况下,不可能每一笔钱都会被罚款,这是不可能的,除了法医调查和潜在的全面PCI DSS安全审计的成本外,2018年5月,通用数据保护条例(GDPR)的出台,以及丢失个人数据可能会被进一步处以巨额罚款。在某些情况下,ddos攻击是没有办法彻底防御的,处理数据泄露的成本已导致公司停止交易。这还值得冒险吗?那么,你从这里到哪里去? 我建议的第一步是接受这样一个事实:你的环境需要安全,作为一个商人,您必须负责确保这一点。然后我强烈建议与您的web开发人员和潜在的宿主提供商进行对话,以确定环境的安全和安全管理方面的任何差距。这取决于您自己和您的第三方的知识和经验,你可以自己解决任何差距需要帮助吗?获取网站健康检查注册>hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(464751,'34804ea5-b1a9-46c6-9e6a-5adad08b232e',{});或者,您可以申请第三方管理的电子商务安全解决方案的服务,该解决方案提供所需的入侵检测系统,以及管理和维护它们的能力。不幸的是,小型电子商务网站正变得容易被攻击者选中,随着攻击量的增加,这正成为一种非常有利可图的犯罪行为。攻击者运行的自动扫描能够扫描全球网络,识别常用的电子商务平台,如Magento,提供一份潜在受害者的名单。像Magento这样的平台被广泛使用,其漏洞和漏洞被广泛记录下来,包括诸如管理登录屏幕等页面的默认URL的位置。安全性不需要耗费地球资源,美国高防cdn云加速,即使是简单的步骤也可以让你远离攻击者的视线。由于有如此多的持卡人数据,攻击者会将目标锁定在最薄弱的环节或最低悬挂的水果上。别让这成为你的目标! 需要考虑和与开发人员讨论的问题谁负责我的电子商务网站的整体安全?主机服务器上有防病毒程序吗?如果是的话,dns高防和cdn区别,是谁维护的?上次更新是什么时候?谁对任何警报采取行动?谁负责修补环境并保持更新?上次是什么时候做的?环境多久修补一次?我们如何知道补丁是否发布,以及它们的实现速度有多快?是否对环境(网站)进行了常见漏洞测试,如果有,如何测试?我们是使用默认错误页还是自定义错误页?我们的基于web的管理登录页面是否可公开访问?是否有我们没有使用的默认应用程序,如果有,这些应用程序是否被禁用?谁管理主机服务器的用户帐户以及对电子商务环境的管理访问?是否删除过时的用户帐户?是否共享用户凭据?我们是否对所有用户使用最小权限策略?谁管理对主机服务器和电子商务环境的管理访问密码?密码复杂性策略是什么?密码轮换策略是什么?双因素身份验证是否到位?是否启用日志记录?我们在记录什么;web访问日志、管理访问和更改日志?日志保存多长时间?谁有权访问日志文件,它们可以被操纵吗?谁监视日志中的可疑活动?是否有入侵检测系统?如果是,谁来监控任何警报,以及多久一次?是否保护环境免受所有已知威胁?我们是否在主机服务器上实施防火墙,在电子商务网站上实施web应用程序防火墙?有什么程序和程序来应对安全事件? 如果您有兴趣检查您的网站的安全立场点,请使用我们的免费网站扫描工具-网站扫描或联系info@foregenix.com更多信息获取网站健康检查hbspt.cta公司.\u relativeUrls=真;hbspt.cta.负荷(464751,'181d695e-749a-427f-b676-8ea0c01a5e31',{});

热门推荐
  • 网站防护_阿里云高防ip到期了怎么办_秒解

      Tinfoil团队在今年早些时候的RSA大会上,我们注意到两件事:没有安全的WiFi,有人设置了一个菠萝,一种欺骗无线网络的设备......

    01-11    来源:长虹华伟

    分享
  • 游戏盾_高防ip段_超高防御

      我们的帆船点船员最近聚集在伦敦的Gartner IAM峰会上,这是我们的团队与众多分析师、合作伙伴和客户会面的绝佳机会,在国......

    09-04    来源:长虹华伟

    分享
  • 服务器防御_海外高防vps推荐_超高防御

      似乎网络安全唯一不变的(除了变化)是我们对缩略语的热爱。我们明白了,时间太短,不能浪费时间。但这可能会使我们更......

    01-11    来源:长虹华伟

    分享
  • 防cc_网站ddos防护_解决方案

      以下摘录自白皮书《国家和地方政府网络安全与合规:完整身份和访问管理战略的重要性》。社会保险号码,驾驶执照记录,......

    09-28    来源:长虹华伟

    分享
  • 服务器安全防护_国外cdn防御_超稳定

      在加州呆过一段时间的人无疑对地震的可能性非常熟悉。不管他们多么罕见,大多数人在最近一次去加州北部的旅行中,都至......

    09-28    来源:长虹华伟

    分享
  • 防御ddos_云服务器高防_免费测试

      凯利·温克尔一直对科技感兴趣。在大学学习交互设计和游戏开发时,她发现自己对细节的关注和好奇心会使她非常适合从事......

    10-01    来源:长虹华伟

    分享
  • 网站防御_cdn高防原理_无限

      当心!勒索软件的这种新的有针对性的攻击变体是智能的,复杂的,并且不仅仅是加密文件。包括勒索软件在内的每一种攻击......

    10-24    来源:长虹华伟

    分享
  • 网站防御_神盾局特工第一季百度云_精准

      上周,谷歌宣布他们的浏览器Chrome的稳定更新已经发布。Chrome 56以标记不安全的HTTP站点、默认启用HTML5和自动阻止Adobe Flash......

    10-24    来源:长虹华伟

    分享
  • cdn防御cc_ddos防御xinng_怎么防

      联合创始人George Frempong被评为2017年Harry Jerome商业成就奖获得者Tapril 21,2017年祝贺Herjavec Group的联合创始人兼全球销售高级副......

    10-24    来源:长虹华伟

    分享
  • 云防护_ddos防火墙安全狗_解决方案

      世界银行间金融电信协会(SWIFT)为全球金融机构提供了交流与国际金融交易有关的敏感信息的能力。这个遍布200多个国家的......

    10-26    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。