不容忽视的NGO网站安全
没有背景,直入正题。前段时间济溪(www.gsean.org)用户访问济溪时收到“网站含有博彩类信息”的安全警告,甚至不能访问网站。临危受命,和济溪总干事一起查找并解决问题,在服务器上发现大量博彩类广告网页。经过一番折腾,总算是让网站正常运作。
趁热打铁,又顺便分析了NGO行业的众多网站,果然发现了一批存在漏洞的网站。
现将存在的问题大致总结如下:
1、 现在网站大多采用开源框架如DEDECMS, empirecms,pw, dz等,但是采用开源框架的网站没有及时更新漏洞补丁。被大量攻击工具利用。
2、 网站陈旧,几年前的网站,代码质量和安全性都存在严重问题。
3、 网站权限问题,比如开启了网站目录浏览等功能,暴露网站结构和隐私信息。
4、 网站设计问题,NGO很少具有专业的技术人员,网站基本上是外包。如果运气差一点,给了一个不太负责任的技术团队,给攻击者留下漏洞。
对于上述问题造成的影响如下:
1、 被恶意挂马,危害网站用户安全
2、 被上传诸如博彩、赌博、黄色等恶意信息。(此类情况最普遍。)
3、 数据泄露,对于有NGO重要数据的应特别注意
4、恶意攻击,造成网络数据丢失,网站崩溃。(这种情况比较少见,除非攻击者专门针对网站恶意攻击,但是一旦出现此类情况,而又没有进行数据备份,将造成严重后果。)
总结一些解决办法:
1、 针对采用开源框架的网站的,应及时更新官方补丁。
2、 很多网站为了保留数据,还留有“旧版”的入口,如果旧版没有维护了建议关闭。
3、 网站应该及时维护,特指技术上的维护。
4、 可以为网站增加安全措施,如加速乐、安全宝等第三方服务。主要可防SQL注入,同时能提高网站的访问速度。
5、 定期为网站做安全监测,如scanv、360网站安全监测等
后话:对于已经监测出有安全漏洞或者已经被挂马的NGO网站,它公益会一一通知并协助处理。
网络没有绝对安全,需要大家平时多注意。
它公益(IT技术支持中心):http://365it.org
Sina 微博:http://weibo.com/itorg
原文链接:http://365it.org/class/11.html 好高端的样子 不错的建议 快,你们微博宣传起~ 济溪小编:快,你们微博宣传起~ (2013-07-12 12:01) images/back.gif
小编最给力了 楼主的id好感度+1 很好的行动 巫落落:楼主的id好感度+1 (2013-07-12 14:52) images/back.gif
你猜猜是什么意思 赚点绿豆 绿豆不是核心
页:
[1]
2