En la era digital actual, existe una deslumbrante variedad de herramientas de creación de sitios web en Internet, como WordPress, Halo, etc. Puede implementar fácilmente su sitio web favorito en la red pública con solo un clic de un comando. Sin embargo, detrás de esto se esconden muchos riesgos de seguridad de la red.
En los lugares oscuros de Internet, siempre hay personas con intenciones maliciosas husmeando en su sitio. Por lo general, no destruyen directamente el sitio web, sino que roban datos y los venden a bandas fraudulentas, o reciben instrucciones de sus competidores para lanzar ataques DDoS, lo que imposibilita que los usuarios normales accedan al sitio web. También existe un método más encubierto, que consiste en utilizar vulnerabilidades en herramientas de código abierto para inyectar scripts o incluso utilizar servidores para minería. La mayoría de las herramientas de creación de sitios web de código abierto no son perfectas en términos de seguridad de la red, por lo que debemos aumentar nuestra conciencia sobre la prevención. Antes de utilizar herramientas de código abierto, busque revisiones de riesgos de seguridad y trate de evitar versiones y proyectos de desarrollo secundarios con riesgos de seguridad. Para el código crítico para el negocio, la seguridad de los datos debe tomarse en serio. Por ejemplo, en un proyecto de sitio web de comercio electrónico, se descubrió que el autor original no pudo interceptar las calificaciones y el acceso no autorizado, lo que provocó que la cuenta de la tienda B pudiera obtener los datos operativos de la tienda A modificando el ID de la tienda en el solicitud de publicación. Estas violaciones de datos, si se exponen, no sólo pueden dañar la marca de una empresa y la confianza de los clientes, sino también exponer a la empresa a responsabilidad legal. Se puede ver que la seguridad de la red es muy importante y no hay lugar para el descuido.
Dado que muchas personas no entienden de codificación y carecen de experiencia relevante, es inevitable utilizar herramientas profesionales para garantizar la seguridad de la red. Hoy me gustaría recomendarles un artefacto WAF nacional que ocupa el primer lugar en GitHub: Leichi WAF. Esta también es una herramienta que he estado usando. Su dirección de GitHub tiene una introducción detallada del proyecto y tipos de ataques de defensa. A continuación, echemos un vistazo a los pasos de instalación: los usuarios chinos tienen un método de instalación separado, que proporciona instalación automática e instalación manual. Elegimos la instalación automática y copiamos el comando de la versión LTS a la consola para su ejecución. La instalación tarda entre dos y tres minutos. Luego, debe configurar las reglas de liberación para el puerto 9443, tomando Alibaba Cloud como ejemplo. Otros servidores en la nube funcionan de manera similar. Una vez completada la instalación, acceda al panel de administración de Leichi en su navegador y luego configure los sitios que deben protegerse. Puede agregar uno o más sitios según la situación real. Lo que debe tenerse en cuenta aquí es que si desea que Thunder Pool y el sitio web estén en el mismo servidor, el puerto del Thunder Pool debe configurarse en 80 o 443, y es posible que sea necesario cambiar el puerto del sitio web empresarial; están en diferentes servidores, no hay problema de ocupación de puertos y el puerto se puede configurar a voluntad. El diagrama esquemático proporcionado por el sitio web oficial muestra claramente que Leichi interviene en forma de proxy inverso, recibe tráfico antes del servidor del sitio web comercial, detecta y limpia el comportamiento de ataque en él y finalmente reenvía el tráfico limpio al servidor del sitio web comercial. Los funcionarios recomiendan que los grupos de minería y los sitios web comerciales se implementen por separado para evitar la influencia mutua.
Una vez completada la configuración, realizamos una serie de pruebas en el grupo de minería. El primero es la solicitud de inyección SQL, que fue interceptada con éxito por Leichi, y la página interceptada mostraba un estilo específico; los ataques de script JS también fueron interceptados. El comportamiento común de los escáneres que extraen datos del sitio web también está dentro del rango de interceptación de Leichi; Leichi interceptó con éxito los ataques CSRF de robo que identifican y envían solicitudes ilegales, así como los ataques de deserialización de Java que explotan las vulnerabilidades de deserialización para implantar códigos o comandos maliciosos. Debido al tiempo limitado, aquí solo se demuestran los efectos de interceptación de algunos ataques. Lei Chi puede interceptar una variedad de ataques y continuará actualizándose y mejorando en el futuro. Se recomienda que usted mismo experimente más estrategias de protección.
Para empresas o usuarios con mayores requisitos, Leichi ofrece una versión profesional. Además de las funciones de la versión de código abierto, la versión profesional también tiene muchas jugabilidad avanzadas. Por ejemplo, a través de funciones estadísticas avanzadas, los usuarios pueden ver el estado de protección de WAF en diferentes dimensiones de tiempo, y los indicadores mostrados son más abundantes y se pueden cargar páginas de interceptación personalizadas profesionales de acuerdo con diferentes escenarios de interceptación, lo que mejora enormemente la experiencia del usuario; Por ejemplo, se puede utilizar una página 404 para albergar a un niño desaparecido. Información, interfaz de interacción persona-computadora o página de código de verificación deslizante, etc., también existe una función de equilibrio de carga ascendente para proteger el sitio que la versión de código abierto no tiene. Cuando los servidores backend están distribuidos y hay muchos nodos, puede configurar un algoritmo de equilibrio de carga para distribuir el tráfico de manera uniforme y mejorar de manera efectiva la capacidad de rendimiento general. En términos del modo de rendimiento del motor de detección, la versión comunitaria tiene un QPS máximo de 2000 y solo puede ser de un solo subproceso, mientras que la versión profesional admite subprocesos múltiples. En teoría, cuanto mayor es la configuración, mayor es el QPS que puede permitirse, que es de decenas de miles.
Para brindarles a todos la oportunidad de experimentar la versión profesional de Lei Chi, el autor se comunicó con los estudiantes en Changting y les preguntó si se podía regalar un lote de cuotas de experiencia (CJ) en forma de lotería. Inesperadamente, Changting estuvo de acuerdo. Si actualmente tiene necesidades en esta área, quizás desee aprovechar esta oportunidad para participar. La forma de participar es muy sencilla, sólo deja un mensaje "Leichi Professional Edition" en el área de comentarios. Los resultados de la lotería se anunciarán dinámicamente. Buena suerte a todos de antemano. Al mismo tiempo, también espero que los amigos que lo utilizan puedan brindar opiniones más valiosas, lo cual es crucial para el desarrollo de Leichi e incluso del WAF nacional.
Espero que a través de la introducción anterior, todos puedan tener una comprensión más completa de Leichi WAF, prestar atención a la seguridad de la red y proteger sus propios sitios web. Si tiene otras preguntas sobre la seguridad de la red o Leichi WAF, deje un mensaje en el área de comentarios para discutirlo. No olvide compartir este artículo para que más personas presten atención a la seguridad de la red.
Compartir en Twitter Compartir en Facebook
Indie123
Comentarios
Actualmente no hay comentarios