Quali sono i pericoli della pubblicità del mio sito amatoriale basato su MySQL?

29

Recentemente ho avviato la programmazione lato server e ho scritto una pagina contenente una tela disegnabile che consente agli utenti di disegnare e salvare un'immagine e sovrascrivere le immagini create da altri.

Per i calci, ho pensato di pubblicizzare il link sui social media per vedere cosa succede. Preferirei non mettere il mio computer in pericolo anche se solo per i calci.

Le mie preoccupazioni principali riguardano la possibilità di accedere al resto del mio sistema o la possibilità di eliminare file dal sito.

I due sono una preoccupazione?

Informazioni rapide sulla configurazione:

  • Sto usando XAMPP 7.0.1 su Windows 10 Home. Oltre a mettere una password sul mio server MySQL, in realtà non ho fatto nulla orientato alla sicurezza, quindi potrebbe essere considerato in uno stato "pronto all'uso" per quanto riguarda la sicurezza.

  • Utilizza un database MySQL e la libreria MySQLi di PHP, ma come accennato in precedenza, l'ho protetto da password e ho avuto cura di prevenire l'iniezione.

posta Carcigenicate 14.02.2016 - 21:45
fonte

5 risposte

62

Oh mio. SÌ! Tutte queste cose sono preoccupanti. Esponi pubblicamente il tuo server solo se sei pronto a far assumere tale server da una parte malintenzionata.

Tutto quello che devi fare è trovare una configurazione errata o un buco di sicurezza e possono possedere il tuo personal computer che usi per fare cose come accedere ad account personali (email, banche, ecc.).

I server pubblici devono essere bloccati, con solo le informazioni necessarie per fornire un servizio. Il caso migliore è quello di fare il backup di quel server e di eliminarlo nel caso in cui sia compromesso. Se succede qualcosa di brutto, lo fai saltare via e ripristina dai backup.

Non esporre il tuo personal computer al pubblico in questo modo, specialmente quando esponi un codice personalizzato e non capisci quanto sia sfruttabile.

    
risposta data 14.02.2016 - 21:51
fonte
20

My main concerns are someone being able to access the rest of my system, or being able to delete files off the site.

Are either of these a concern?

Sì e sì.

Perché?

Sono alcuni dei motivi che mi vengono in mente.

    
risposta data 14.02.2016 - 21:58
fonte
7

Per isolare il tuo progetto dal resto del tuo sistema, puoi configurare una macchina virtuale, installare una configurazione LAMP minima (Linux, Apache, MySQL, PHP) e installare lì la tua applicazione. Anche quando la tua macchina virtuale viene totalmente pesa, la tua macchina normale sarà relativamente risparmiata (solo "relativamente" perché c'erano alcune vulnerabilità conosciute nel software VM che permettevano di uscire dal sistema ospite per influenzare il sistema host, ma queste erano relativamente oscure) . Quando la tua macchina virtuale è diventata una macchina spam infestata da malware, puoi facilmente convertirla in uno snapshot noto o terminarla interamente con un solo clic.

Distribuire il tuo progetto in una macchina virtuale è anche un buon modo per imparare come configurare un server "reale" per il tuo progetto in un secondo momento, nel caso decidessi di noleggiarne uno.

Un software gratuito (come nella birra) che consente questa è Virtual Box , ad esempio.

    
risposta data 14.02.2016 - 22:58
fonte
7

In realtà, non importa molto per un tipico attaccante se pubblicizzi il tuo servizio o meno. Tipici aggressori eseguono regolarmente la scansione di tutti i numeri IP disponibili per i server Web e cercano di attaccarli non appena sono online.

L'unico effetto negativo della pubblicità può essere un sovraccarico del traffico e la mancata disponibilità del server per questo motivo.

Devi prendere in considerazione la sicurezza non appena vai online.

    
risposta data 15.02.2016 - 11:15
fonte
2

Questo non deve essere motivo di preoccupazione. O potrebbe essere una preoccupazione importante.

Che altro c'è sulla tua macchina?

Se la risposta è, "nient'altro a cui tengo, questa è una macchina su cui ho installato Windows la scorsa settimana, e non ci sono dati sensibili su di essa, e tutti i dati importanti sono stati salvati tre minuti fa, e io Sono disposto a cancellare tutto nel caso in cui un utente malintenzionato faccia cose cattive al mio sistema, e non ci siano altri computer sulla rete che potrebbero essere attaccati da questa macchina fittizia ", quindi, con ogni mezzo, andare avanti.

E proprio così non pensi di essere ridicolmente sarcastico: ho due macchine del genere in casa mia adesso. Sono avviati da Live CD, con una sicurezza minima applicata (hanno appena cambiato due password predefinite), ma sono protetti da un firewall e il sistema operativo sparirà in modo efficace una volta che avrò spento l'alimentazione questa settimana.

My main concerns are someone being able to access the rest of my system, or being able to delete files off the site.

La tua sicurezza sembra abbastanza ridotta ed è ragionevole pensare che potresti essere un attacco piuttosto rapido. O ottieni le cose molto più sicure, o fai in modo che non sia necessario preoccuparsi che gli attaccanti distruggano il tuo sistema. L'approccio più semplice potrebbe consistere nel spendere soldi acquistando un altro (forse usato) computer di cui non ti interessa, in modo da non creare rischi inutili con cose di cui ti preoccupi di più.

A proposito, vorrei sottolineare l'idea dei backup. Pensa a quali dati sono importanti e assicurati di averne eseguito il backup. In caso contrario, suggerisco di rendere prioritario il progetto (di backup dei dati) rispetto alla sperimentazione con l'aggiunta di nuovi servizi.

    
risposta data 16.02.2016 - 08:43
fonte

Leggi altre domande sui tag