Kérdés:
Milyen veszélyekkel jár a MySQL-alapú amatőr webhelyem hirdetése?
Carcigenicate
2016-02-15 02:45:50 UTC
view on stackexchange narkive permalink

Nemrégiben elkezdtem a szerveroldali programozást, és írtam egy oldalt, amely egy rajzolható vásznat tartalmaz, amely lehetővé teszi a felhasználók számára, hogy nyilvánosan rajzoljanak és menthessenek képet, és felülírják a mások által készített képeket. hirdetni a linket a közösségi médiában, hogy lássa, mi történik. Inkább nem tenném a számítógépemet kárba, bár csak rúgások miatt.

Legfőbb gondjaim az, hogy valaki hozzáférhessen a rendszerem többi részéhez, vagy hogy törölhessen fájlokat a webhelyről.

Ezek közül bármelyik aggodalomra ad okot?

Gyors információ a beállításról:

  • Az XAMPP 7.0.1 rendszert használom a Windows 10 Home rendszeren . Amellett, hogy jelszót adtam a MySQL szerveremre, valójában nem csináltam semmilyen biztonságorientált megoldást, ezért a biztonság szempontjából "out-of-the-box" állapotban lehetne tekinteni.

  • MySQL adatbázist és PHP MySQLi könyvtárát használja, de amint fentebb említettem, jelszóval védem, és ügyeltem az injekciók megakadályozására.

öt válaszokat:
schroeder
2016-02-15 02:51:52 UTC
view on stackexchange narkive permalink

Jaj. IGEN! Mindezek a dolgok aggodalomra adnak okot. Csak akkor teszi nyilvánosan nyilvánosságra a szerverét, ha fel van készülve arra, hogy egy rosszindulatú fél átvegye ezt a szervert.

Mindössze annyit kell tennie, hogy hibás konfigurációt vagy biztonsági rést talál, és megszerezheti a személyi számítógépét, amelyet például a személyes számlákhoz (e-mail, bankok stb.) használ. >

A nyilvános szervereket le kell zárni, csak a szolgáltatás nyújtásához szükséges adatokkal. A legjobb eset az, ha a kiszolgáló biztonsági másolatot készít és eldobható, ha veszélybe kerül. Ha valami rossz történik, fújd le és állítsd vissza a biztonsági másolatokból.

Ne tedd így nyilvánosság elé a személyi számítógépedet, különösen akkor, ha egyéni kódot teszel közzé, és nem érted, mennyire kihasználható. az.

Tehát ezt csak olyan embereknek szabad meghagyni, akik tudják, mit csinálnak? Ez pech. Kíváncsi voltam, milyen forgalmat fogok elérni, de a számítógépemet ilyen kockázatoknak kitenni nem érdemes.
@Carcigenicate Felhőkiszolgálókat állíthat be fillérekért. Például az Amazon EC2. Mindenki, aki feliratkozik, havi 750 órányi ingyenes t2.mikrohasználatot kap. 1 GB RAM és kicsi HDD, de tökéletes a szerverek teszteléséhez. Könnyű biztonsági profilokat létrehozni minden tesztelt kiszolgálóhoz. Ha valamivel valamivel erősebbre van szüksége, akkor a jobb kiszolgáló megszerzéséhez a spot-kérések használata szintén költséghatékony.
@cremafraiche Köszönöm. Ez azonban pusztán a saját szórakozásomra szolgál, így valószínűleg így is érdemes lenne megvizsgálni a külső tárhelyet, még ha olcsó is.
@cremefraiche Köszönöm. Talán utánanézek, ha egyszerű.
@Carcigenicate Azok, akik tudják, mit csinálnak, nem fogják megtenni (tegyenek egy rendszert bármilyen privát információval, ahol ilyen támadásnak van kitéve).
Ajánlásként - használja a KeePass vagy hasonló elemeket az ezeken a rendszereken használt jelszavak előállításához. Nagyjából a lehető legrosszabb az, ha beállítasz egy szervert, véletlenül lyukad lesz, a támadó megkapja a jelszavadat, amelyet mindenhol máshol használsz, és most azt szeretnéd, ha meghaltál volna. Vagy voltak. Ettől függetlenül - használjon valamit erős és egyedi jelszavak előállításához és mentéséhez az összes olyan fiókhoz, amelyet a projekthez képest használ.
@Carcigenicate Ha csak egy mellékprojektet végez, akkor arra biztatnám Önt, hogy egyszerűsítse azáltal, hogy hagyja, hogy egy bevált rendszer elnyeli a kezdeti infrastrukturális nehézségeket. Az olyan szolgáltatások, mint az OpenShift, lehetővé teszik a modulok áthúzását a csomópontjába, így alacsony felhasználás esetén ismét ingyenesek, és a vízvezeték helyett a tartalomra és a logikára koncentrálhat ...
+1 az ingyenesen tárolt szerverek számára. Az MS jó alapcsomagot készít az Azure-tal is, amely megadja, hogy mennyi az ingyenes, alacsony fogyasztású szerver, tökéletes az egyszerű webtárhelyhez.
cremefraiche
2016-02-15 02:58:42 UTC
view on stackexchange narkive permalink

A legfőbb gondom az, hogy valaki hozzáférhessen a rendszerem többi részéhez, vagy hogy törölhessen fájlokat a webhelyről.

Ezek közül bármelyik aggodalomra ad okot?

Igen és igen.

Miért?

Néhány oka hogy eszedbe jut.

Philipp
2016-02-15 03:58:10 UTC
view on stackexchange narkive permalink

A projekt és a többi rendszer elkülönítéséhez állítson be egy virtuális gépet, telepítsen rá egy minimális LAMP (Linux, Apache, MySQL, PHP) konfigurációt, és telepítse oda az alkalmazását. Még akkor is, ha a virtuális géped teljesen meg van adva, a normál géped viszonylag mentett lesz (csak "viszonylag", mert a virtuális gép szoftverében voltak ismert biztonsági rések, amelyek lehetővé tették a vendégrendszerből való menekülést, hogy befolyásolják a fogadó rendszert, de ezek viszonylag homályosak) . Amikor a virtuális gépe rosszindulatú programokkal fertőzött spamgéppé vált, könnyedén visszaállíthatja ismert ismert pillanatképre, vagy egy kattintással teljesen felmondhatja.

A projekt virtuális gépbe történő telepítése szintén jó Ha később úgy dönt, hogy bérel egy "valódi" szervert a projektjéhez, úgy dönt, hogy bérel egy ilyet.

Egy ingyenes (mint a sörben) szoftver, amely ezt lehetővé teszi, a Virtual Box például.

A virtuális gép menekülése nem az egyetlen szempont. Itt van a belső hálózati biztonság is. Bárki, aki átvette az asztali PC-n futó virtuális gép irányítását, megkerülte az otthoni útválasztó tűzfalát, ezért aggódnia kell azon, hogy milyen más gépek vannak hálózatba kapcsolva a virtuális géphez, és ezek mennyire biztonságosak.
jk - Reinstate Monica
2016-02-15 16:15:09 UTC
view on stackexchange narkive permalink

Valójában egy tipikus támadó számára nem mindegy, hogy hirdeti-e szolgáltatását vagy sem. A tipikus támadók rutinszerűen vizsgálják meg az összes elérhető IP-számot a webszerverek számára, és megpróbálják megtámadni őket, amint online kapcsolatba lépnek.

A reklámozás egyetlen káros hatása a forgalom túlterhelése és a szerver emiatt való elérhetetlensége lehet.

Amint online lesz, fontolóra kell vennie a biztonságot.

A port / IP szkennerek valódi problémát jelentenek a hálózatomban is. Az internetszolgáltatóm nem is rendel statikus IP-t, és általában több kísérletet is elkövetek a mysql-ben (a nyilvános internet számára nyitva állok a munkám elvégzéséhez).
Tulajdonképpen nem szabványos portot használok, így valószínűleg nem található meg szkenneléssel.
Az @Carcigenicate szkennelés pontosan olyan ... Szkennelés, hogy megtudja, melyik portok vannak nyitva. Az a gondolkodás, hogy valószínűtlen, hogy valaki megtalálja a szerverét, rossz hely a kezdéshez. Tegyük fel, hogy valaki megtalálja, majd megteszi azt, amit meg kell tennie, hogy megbizonyosodjon arról, hogy teljesen mindegy, hogy megtalálja-e.
@rooby Tudom, hogy lehetséges, de a kiszolgálóm már hónapok óta nyitva van anélkül, hogy fontolóra vettem volna a biztonságot (nem jó ötlet, tudom), és a naplóimban nincs furcsa hozzáférés. Tudom, hogy lehetséges, de a "port-space" elég nagy, nem? Mint 65k?
@Carcigenicate a dolgok nagy sémájában a 65k nem olyan sok. Nem elég, ha a durva erőt időpazarlássá teszi (főleg, ha senki sem figyeli a naplóit). Lehetséges, hogy senki sem fog megtámadni, de ha feltételezed, hogy tudnak és óvintézkedéseket tesznek, elkerülheted a jövőben az óriási fejfájást. Ebben az esetben, ha azt feltételezné, hogy valaki rosszindulatú hozzáférhet az Ön webhelyéhez, és ha nem volt benne biztos a kódja és / vagy a konfigurációja biztonságában, akkor talán úgy dönt, hogy jobb lenne máshol tárolni.
TOOGAM
2016-02-16 13:43:21 UTC
view on stackexchange narkive permalink

Ennek nem kell aggódnia. Vagy ez komoly aggodalomra adhat okot.

Mi van még a számítógépén?

Ha a válasz a következő: "semmi más nem érdekel; ez egy olyan gép, amelyre telepítettem a Windows rendszert a múlt héten, és nincsenek rajta érzékeny adatok, és a fontos adatokról három perccel ezelőtt készült biztonsági másolat, és hajlandó vagyok mindent törölni arra az esetre, ha egy támadó rosszat tesz a rendszeremmel, és nincsenek más számítógépek a hálózat, amelyet ez a próbabábu megtámadhat ", akkor mindenképpen haladjon előre.

És csak azért, hogy ne gondolja, hogy nevetségesen szarkasztikus vagyok: két ilyen gépem van a házam most. Élő CD-ket indítottak el, minimális biztonsággal (csak két alapértelmezett jelszót cseréltek), de tűzfal védi őket, és az operációs rendszer gyakorlatilag eltűnik, amint a héten később kikapcsolom az áramellátást.

A legfőbb gondom az, hogy valaki hozzáférjen a rendszerem többi részéhez, vagy hogy törölhessen fájlokat a webhelyről.

Biztonsága meglehetősen minimálisnak hangzik, és csak ésszerű azt hinni, hogy meglehetősen gyorsan támadhat. Vagy biztonságosabbá tegye a dolgokat, vagy tegye úgy, hogy ne kelljen aggódnia a támadók miatt, amelyek tönkreteszik a rendszerét. A legegyszerűbb megközelítés az, ha pénzt költ egy másik (esetleg használt) számítógép megvásárlásával, amely nem érdekel, így nem okoz egy csomó felesleges kockázatot olyan dolgokkal, amelyek jobban érdekelnek.

Egyébként szeretném újra hangsúlyozni a mentések gondolatát. Gondoljon át arra, hogy milyen adatok fontosak, és győződjön meg arról, hogy mindenről készült-e biztonsági másolat. Ha nem ez a helyzet, akkor azt javaslom, hogy a projektet (az adatok biztonsági mentését) helyezze előtérbe az új szolgáltatások hozzáadásával való kísérletezéssel szemben.



Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.
Loading...