Свежие новости
Web Server Security and Database Server Security. 6.
9. Удалите все неиспользованные модули и прикладные расширения.
Установка Apache по умолчанию имеет ряд предопределённых подключенных модулей, которые не используются в типичном веб-сервере, за исключением случаев, когда они действительно необходимы.
Выключите такие модули для предотвращения целенаправленных атак на них.
То же самое касается сервера от Microsoft, Internet Information Services. По умолчанию, IIS конфигурируется для обслуживания большого количества прикладных приложений, например, ASP, ASP.NET и многих других. Список прикладных расширений должен содержать только те расширения, которые будут использоваться на веб-сайте или приложениями. Каждое такое расширение должно быть доступно для пользования только определенных запросов HTTP там, где это возможно.
10.Использование инструментов безопасности совместно с веб-сервером.
Microsoft выпустила много инструментов, в помощь администраторам для установки web-сервера IIS, такие как просмотр URL. Это аналог модуля под Apache, называемый mod_secutity. Хотя …
Web Server Security and Database Server Security. 5.
6. Устанавливайте все обновления безопасности вовремя.
Даже если у Вас полностью пропатченное ПО – это не обязательно означает то, что Ваш сервер абсолютно защищен, очень важно обновлять операционную систему и остальные программы, работающее под ней, последними патчами безопасности. До сегодняшнего дня, все случаи взлома происходят потому, что взломщики используют уязвимости и дыры непропатченных серверов и программ.
7. Мониторинг и аудит сервера.
Все логи, генерируемые веб-сервером, в идеале должны храниться в изолированном месте. Все лог-журналы сетевых сервисов, операционной системы, журналы доступа к веб-серверу, журналы базы данных (например Microsoft SQL Server, MySQL, Oracle) должны контроллироваться и проверяться чаще. Любые странные записи всегда должны настораживать. Как правило, лог-файлы дают полную информацию о попытках нападения и даже успешных атаках. Но, очень часто их вовсе не проверяют. Если …
Web Server Security and Database Server Security. 4.
4. Содержание веб-приложении и скрипты сайта
Веб-приложения или файлы сайтов и скрипты всегда должны располагаться на отдельном разделе либо другом диске, на который не будет установлена операционная система, журналы и все остальные системные файлы. Опыт показывает, что если хакеры получают доступ к панели управления сайта, расположенного вместе с ОС, в дальнейшем находятся слабые места в системе, и злоумышленники проникают в нее глубже, получая доступ ко всем данным на диске, в том числе к операционной системе и остальным системным файлам. Благодаря этому злоумышленники получают полный контроль над всем сервером, и возможности производить любые действия.
5. Права доступа и привилегии
Права доступа к файловым и сетевым сервисам играют жизненно важную роль в сетевой безопасности. Если движок веб-сервера скомпрометирован через программное обеспечение сетевого сервиса, то злонамеренный …
Web Server Security and Database Server Security. 3.
3. Разделение сред разработки, тестирования и продакшн.
Наиболее часто разработка и тестирование новых веб-приложений происходит непосредственно на рабочем сервере, так как это проще и быстрее для разработчика. Распространенным явлением в сети Интернет так же является нахождение новых версий определенных веб-сайтов, или какого-либо контента, которые не должны быть доступны для пользователей в таких рубриках как «тест», «новинки» или другие аналогичные рубрики. Поскольку такие веб-приложений находятся на ранних стадиях разработки, они, как правило, имеют ряд уязвимостей, отсутствие надлежащей регистрации пользователя и недостаточную обработку исключительных случаев. С помощью специальных инструментов находящихся в свободном доступе в сети, такие приложения могут быть легко обнаружены и использованы злоумышленниками.
Чтобы облегчить более разработку и тестирование веб-приложений, разработчики, как правило, разрабатывают специфицеские внутренние приложения, которые обеспечивают специфический доступ к веб-приложениям, …
Web Server Security and Database Server Security. 2.
Продолжу публикацию манифеста рекомендаций по безопасности веб-приложений.
1. Удалите ненужные сервисы
Конфигурация установленной операционных системы по умолчанию, не безопасна. При типичной установке по умолчанию инсталлируются многие сетевые услуги, которые не будут использоваться в конфигурации веб-сервера. Например, такие дополнения, как услуги удаленного реестра, Print Server, RAS, и другие. Чем больше сервисов, работающих под управлением операционной системы, тем больше может быть открытых портов, что дает возможность злоумышленникам воспользоваться этим в своих целях. Администратору необходимо отключить все ненужные службы таким образом, чтобы в следующий раз при перезагрузке сервера, они не запускались автоматически. Отключение ненужных служб также обеспечит дополнительную производительность вашего сервера, освобождая ресурсы для других аппаратных средств.
2. Удаленный доступ
Хотя в настоящее время это не практикуется, тем не менее, если возможно, администраторам сервера следует осуществлять …
Кибер-безопасность нуждается в кампании типу duck-and-cover для повышения национальной осведомленности
Исследователи считают, что поддержание компьютерной безопасности США должно включать образовательные программы, мотивирующие частные лица к борьбе с компьютерными угрозами посредством безопасных веб-практик, так же как в 1950х школьников учили в прятаться под парты и прикрывать свои головы в случае ядерных атак.
По словам профессора политических наук Университета Цинциннати, пишущему для «Журнала национальной безопасности и ликвидации чрезвычайных ситуаций», хотя цели компьютерной программы значительно отличаются, требования к общественному образованию совпадают.
«Общее население должно участвовать в качестве активных поставщиков безопасности, а не просто получателей политики в области безопасности, потому что их практики зачастую создают угрозы, на которые реагирует правительство», – говорят Ричард Харкнетт и Джеймс Стивер их школьного департамента политических наук.
«Проблема связана с тем, что любой может получить доступ в Интернет без подготовки по …
Google предлагает хакерам деньги за баги в Chrome
Новая поощрительная программа выявления уязвимости платит как минимум 500$ за существенные ошибки
Google теперь предлагает хакерам деньги за обнаружение уязвимостей в своем браузере Chrome – практика, уже внедренная на Mozilla.
Экспериментальная поощрительная программа предназначена для стимулирования исследователей вне проекта Chromium к обеспечению обратной связи в сфере безопасности для браузера. Google говорит, что будет платить 500$ за соответствующее обнаружение ошибки и $ 1337 за выявление особо тяжелых или сложных уязвимостей; одна ошибка может рассматриваться как несколько уязвимостей.
«Чем больше людей участвует при анализе кода и характера изменения Chromium, тем выше будет безопасность миллионов наших пользователей», – говорит Крис Эванс из отдела безопасности Google Chrome в своем блоге, представляя сегодня новую программу.
Google приписывает Mozilla идею предоставления вознаграждения за обнаружение уязвимости в своем программном обеспечении.
На этой …
Ботнет наводняет крупные веб-сайты фальшивыми SSL-подключениями
Скачок DDoS -трафика в отношении ЦРУ, Chase, Google Chrome, ФБР и других озадачил ученых планами ботнета Pushdo
Спам-ботнет, известный за поддержание низкого профиля, поразил сотни веб-сайтов – в том числе ЦРУ, Chase, Mozilla Labs, Twitter, SAN, Google Chrome и ФБР, – в течение последних недель чрезвычайно выдающимся объемом фальшивого трафика, что побудило исследователей к анализу его следующего шага.
Ботнет Pushdo, также известный, как «Cutwail» и «Pandex», наводнял эти сайты фиктивными SSL-соединениями, едва не сделавшими запрос по сайту. По словам Shadowserver Foundation, инфицированные боты начинают инициацию SSL-подключения с некоторым «засоряющим» трафиком, а затем отключаются. Shadowserver и другие исследователи ведут мониторинг деятельности, которая увеличила трафик на несколько миллионов посещений среди сотен тысяч IP адресов, по данным Shadowserver.
Например, ботнет атаковал сайт Hit ZeusTracker сотнями …
Старая система безопасности таит в себе большую угрозу
Повышенное внимание к решению новых и возникающих угроз безопасности может быть причиной того, что компании пропускают более старые и гораздо чаще используемые уязвимости, как говорится в недавнем докладе.
Доклад Trustwave основан на анализе данных, собранных в ходе более чем 1900 проверок на проникновение и более 200 исследований нарушений, проведенных от лица таких клиентов, как American Express, MasterCard, Discover, Visa и несколько крупных розничных потребителей.
Анализ показал, что основные мировые компании нанимают «охотников за уязвимостями» и производят поиск последних уязвимостей и новейших угроз, пропуская при этом наиболее распространенные, как говорится в докладе.
В результате компании продолжают выходить из строя из-за старых и предположительно хорошо изученных уязвимостей, а не из-за новейших инструментов и методов атаки.
Например TrustWave выявил, что основные три способа, благодаря которым хакеры …
Microsoft внесет 26 изменений в Windows и Office
На текущей неделе Microsoft должны внести 26 изменений, в том числе особо важные в Windows, одно из них касается ядра 32-битных версий, а также несколько изменений будут произведены в Office, об этом компания заявила в четверг в превью своего Patch Tuesday.
Согласно информационному сообщению пять из 13 информационных сводок затрагивают уязвимости, которые могут привести к удаленному выполнению кода, и они оцениваются как критические. Сводки касаются Windows 2000, XP, Vista и Windows 7, а также Server 2003 и 2008, Office XP, Office 2003 и Office 2004 для Mac.
«Сводки, связанные с Office, оцениваются как важные и будут требовать действий пользователя для эксплуатации (как правило, в форме убеждения пользователя открыть специально созданный файл),» – говорится в сообщении блога Джерри Брайанта, старшего менеджера по безопасности …
Есть вопрос! Оставь свой голос!
Question:
Loading ...Columns
- At any shit (24)
- Chrooting (3)
- Greatest bugs (11)
- News (19)
- Optimization (16)
- Security (26)
- solaris (30)
- Solutions (9)
- Tuning (2)
Pages
History
- Февраль 2010 (28)
- Январь 2010 (32)
- Декабрь 2009 (9)
- Ноябрь 2009 (13)
- Октябрь 2009 (6)
- Сентябрь 2009 (8)
- Август 2009 (12)
- Июль 2009 (9)
- Июнь 2009 (23)