我最近开始了服务器端编程,并编写了一个包含可绘制画布的页面,让用户可以公开绘制和保存图片,并覆盖其他人制作的图片。
为了好玩,我想在社交媒体上宣传这个链接,看看会发生什么。我宁愿不要让我的电脑受到伤害,尽管只是为了好玩。
我主要担心的是有人能够访问我系统的其余部分,或者能够从网站上删除文件。
这些都值得关注吗?
有关设置的快速信息:
我在 Windows 10 Home 上使用 XAMPP 7.0.1。除了在我的 MySQL 服务器上设置密码之外,我真的没有做任何面向安全的事情,所以就安全性而言,它可以被认为处于“开箱即用”状态。
它使用 MySQL 数据库和 PHP 的 MySQLi 库,但如上所述,我对其进行了密码保护,并注意防止注入。
天啊。是的!所有这些事情都值得关注。只有当您准备好让恶意方接管该服务器时,您才能公开您的服务器。
需要做的就是找到错误配置或安全漏洞,他们可以拥有您的个人计算机,您可以使用它来执行诸如访问个人帐户(电子邮件、银行等)之类的事情。
公共服务器需要被锁定,只有提供服务所需的信息。最好的情况是对该服务器进行备份和一次性使用,以防它受到损害。如果发生了不好的事情,你会把它吹走并从备份中恢复。
不要以这种方式向公众公开您的个人计算机,尤其是当您公开自定义代码并且您不了解它的可利用性时。
要将您的项目与系统的其余部分隔离,您可以设置一个虚拟机,在其上安装一个最小的 LAMP(Linux、Apache、MySQL、PHP)配置并在那里安装您的应用程序。即使你的虚拟机完全被pwned,你的普通机器也会相对节省(只是“相对”,因为VM软件中有一些已知的漏洞允许从客户系统逃逸以影响主机系统,但这些相对模糊) . 当您的虚拟机变成恶意软件侵扰的垃圾邮件机器时,您可以轻松地将其恢复为已知良好的快照,或者只需单击一下即可完全终止它。
如果您决定租用一个,那么在虚拟机中部署您的项目也是学习如何为您的项目设置“真实”服务器的好方法。
例如,允许这样做的免费(如啤酒)软件是Virtual Box。
事实上,对于典型的攻击者来说,您是否宣传您的服务并不重要。典型的攻击者会定期扫描所有可用的网络服务器 IP 号码,并在它们上线后立即尝试攻击它们。
由于这个原因,广告的唯一不利影响可能是流量过载和服务器不可用。
您一上网就需要考虑安全性。