Na era digital de hoje, há uma variedade impressionante de ferramentas de construção de sites na Internet, como WordPress, Halo, etc. Você pode implantar facilmente seu site favorito na rede pública com apenas um clique de comando. No entanto, existem muitos riscos de segurança de rede ocultos por trás disso.
Nos lugares obscuros da internet, sempre há pessoas com intenções maliciosas bisbilhotando o seu site. Eles geralmente não destroem diretamente o site, mas roubam dados e os vendem para gangues fraudulentas, ou são instruídos por concorrentes a lançar ataques DDoS, impossibilitando o acesso de usuários normais ao site. Existe também um método mais secreto, que é usar vulnerabilidades em ferramentas de código aberto para injetar scripts ou até mesmo usar servidores para mineração. A maioria das ferramentas de construção de sites de código aberto não são perfeitas em termos de segurança de rede, por isso devemos aumentar a nossa consciência sobre a prevenção. Antes de usar ferramentas de código aberto, pesquise suas análises de riscos de segurança e tente evitar versões e projetos de desenvolvimento secundários com riscos de segurança. Para códigos críticos para os negócios, a segurança dos dados deve ser levada a sério. Por exemplo, em um projeto de site de comércio eletrônico, descobriu-se que o autor original não conseguiu interceptar avaliações e acessos não autorizados, resultando na conta da loja B sendo capaz de obter os dados operacionais da loja A modificando o ID da loja no solicitação de postagem. Tais violações de dados, se expostas, podem não só prejudicar a marca de uma empresa e a confiança do cliente, mas também expor a empresa a responsabilidades legais. Percebe-se que a segurança da rede é muito importante e não há espaço para desleixos.
Dado que muitas pessoas não entendem de codificação e não têm experiência relevante, é inevitável utilizar ferramentas profissionais para garantir a segurança da rede. Hoje eu gostaria de recomendar a vocês um artefato WAF doméstico que ocupa o primeiro lugar no GitHub - Leichi WAF. Esta também é uma ferramenta que tenho usado. Seu endereço GitHub contém uma introdução detalhada do projeto e tipos de ataques de defesa. A seguir, vamos dar uma olhada nas etapas de instalação: os usuários chineses têm um método de instalação separado, que fornece instalação automática e instalação manual. Escolhemos a instalação automática e copiamos o comando da versão LTS para o console para execução. A instalação leva cerca de dois a três minutos. Depois, você precisa configurar as regras de liberação para a porta 9443, tomando como exemplo o Alibaba Cloud. Outros servidores em nuvem operam de forma semelhante. Após a conclusão da instalação, acesse o painel de gerenciamento do Leichi em seu navegador e configure os sites que precisam ser protegidos. Você pode adicionar um ou mais sites de acordo com a situação real. O que precisa ser observado aqui é que se você deseja que o Thunder Pool e o site estejam no mesmo servidor, a porta do Thunder Pool precisa ser definida como 80 ou 443, e a porta do site comercial pode precisar ser alterada, se houver; estão em servidores diferentes, não há problema de ocupação da porta e a porta pode ser definida à vontade. O diagrama esquemático fornecido pelo site oficial mostra claramente que Leichi intervém na forma de um proxy reverso, recebe o tráfego antes do servidor do site comercial, detecta e limpa o comportamento de ataque nele e, finalmente, encaminha o tráfego limpo para o servidor do site comercial. As autoridades recomendam que os pools de mineração e os sites comerciais sejam implantados separadamente para evitar influência mútua.
Após a conclusão da configuração, realizamos uma série de testes no pool de mineração. A primeira é a solicitação de injeção SQL, que foi interceptada com sucesso pelo Leichi, e a página interceptada mostrou um estilo específico. Os ataques de script JS também foram interceptados. O comportamento comum dos scanners que extraem dados do site também está dentro do alcance de interceptação do Leichi; ataques de roubo CSRF que identificam e enviam solicitações ilegais, bem como ataques de desserialização Java que exploram vulnerabilidades de desserialização para implantar códigos ou comandos maliciosos, foram interceptados com sucesso por Leichi. Devido ao tempo limitado, apenas os efeitos de interceptação de alguns ataques são demonstrados aqui. Lei Chi pode interceptar uma variedade de ataques e continuará a ser atualizado e melhorado no futuro. É recomendável que você experimente mais estratégias de proteção.
Para empresas ou usuários com requisitos mais elevados, a Leichi oferece uma versão profissional. Além das funções da versão de código aberto, a versão profissional também possui muita jogabilidade avançada. Por exemplo, através de funções estatísticas avançadas, os usuários podem visualizar o status de proteção do WAF em diferentes dimensões de tempo, e os indicadores exibidos são mais abundantes e páginas de interceptação personalizadas podem ser carregadas de acordo com diferentes cenários de interceptação, melhorando muito a experiência do usuário; Por exemplo, uma página 404 pode ser usada para abrigar uma criança desaparecida. Informações, interface de interação humano-computador ou página de código de verificação deslizante, etc.; há também uma função de balanceamento de carga upstream para proteger o site que a versão de código aberto não possui. Quando os servidores back-end são distribuídos e há muitos nós, você pode configurar um algoritmo de balanceamento de carga para distribuir uniformemente o tráfego e melhorar efetivamente a capacidade geral de rendimento. Em termos de modo de desempenho do mecanismo de detecção, a versão comunitária tem um QPS máximo de 2.000 e só pode ser single-threaded, enquanto a versão profissional suporta multi-threading. Teoricamente, quanto maior a configuração, maior será o QPS que ela pode pagar, que é de dezenas de milhares.
Para dar a todos a oportunidade de vivenciar a versão profissional do Lei Chi, o autor contatou os alunos de Changting e perguntou se um lote de cotas de experiência (CJ) poderia ser doado em forma de sorteio. Inesperadamente, Changting concordou prontamente. Se você atualmente tem necessidades nesta área, você pode aproveitar esta oportunidade para participar. A forma de participar é muito simples, basta deixar uma mensagem “Leichi Professional Edition” na área de comentários. Os resultados da loteria serão anunciados de forma dinâmica. Boa sorte a todos antecipadamente. Ao mesmo tempo, espero também que os amigos que o utilizam possam fornecer opiniões mais valiosas, o que é crucial para o desenvolvimento do Leichi e até mesmo do WAF doméstico.
Espero que através da introdução acima, todos possam ter uma compreensão mais abrangente do Leichi WAF, prestar atenção à segurança da rede e proteger seus próprios sites. Se você tiver outras dúvidas sobre segurança de rede ou Leichi WAF, deixe uma mensagem na área de comentários para discussão. Não se esqueça de compartilhar este artigo para que mais pessoas prestem atenção à segurança da rede.
Compartilhar no Twitter Compartilhar no Facebook
Indie123
Comentários
Atualmente não há comentários