¿Cuáles son los peligros de anunciar mi sitio amateur de MySQL?

Navega tus respuestas
29

Hace poco empecé la programación del lado del servidor y escribí una página que contiene un lienzo dibujable que permite a los usuarios dibujar y guardar una imagen públicamente, y sobrescribir las imágenes creadas por otros.

Para las patadas, pensé en anunciar el enlace en las redes sociales para ver qué sucede. Preferiría no poner mi computadora en peligro aunque solo sea por diversión.

Mis principales preocupaciones son que alguien pueda acceder al resto de mi sistema o que pueda eliminar archivos del sitio.

¿Alguno de estos es una preocupación?

Información rápida sobre la configuración:

  • Estoy usando XAMPP 7.0.1 en Windows 10 Home. Además de poner una contraseña en mi servidor MySQL, realmente no he hecho nada orientado a la seguridad, por lo que podría considerarse un estado "listo para usar" en lo que respecta a la seguridad.

  • Utiliza una base de datos MySQL y la biblioteca MySQLi de PHP, pero como se mencionó anteriormente, la tengo protegida con una contraseña y me he preocupado de evitar la inyección.

pregunta Carcigenicate 14.02.2016 - 21:45
fuente

5 respuestas

62

Oh mi. ¡SÍ! Todas esas cosas son preocupantes. Solo expone su servidor públicamente si está preparado para que una parte maliciosa tome el control de ese servidor.

Todo lo que debe hacer es encontrar una configuración incorrecta o un agujero de seguridad y pueden ser propietarios de su computadora personal que utiliza para hacer cosas como acceder a cuentas personales (correo electrónico, bancos, etc.).

Los servidores públicos deben estar bloqueados, con solo la información que necesita para proporcionar un servicio. El mejor caso es tener ese servidor respaldado y desechable en caso de que esté comprometido. Si algo malo sucede, lo destruyes y recuperas de las copias de seguridad.

No exponga su computadora personal al público de esta manera, especialmente cuando está exponiendo un código personalizado y no comprende cuán explotable es.

    
respondido por el schroeder 14.02.2016 - 21:51
fuente
20
  

Mis principales preocupaciones son que alguien pueda acceder al resto de mi   sistema, o poder eliminar archivos del sitio.

     

¿Alguno de estos es una preocupación?

Sí y sí.

¿Por qué?

Son algunas de las razones que me vienen a la mente.

    
respondido por el cremefraiche 14.02.2016 - 21:58
fuente
7

Para aislar su proyecto del resto de su sistema, puede configurar una máquina virtual, instalar una configuración mínima de LAMP (Linux, Apache, MySQL, PHP) e instalar su aplicación allí. Incluso cuando su máquina virtual sea totalmente optimizada, su máquina normal se guardará relativamente (solo "relativamente" porque hubo algunas vulnerabilidades conocidas en el software de VM que permitieron escapar del sistema huésped para influir en el sistema host, pero estas son relativamente poco claras) . Cuando su VM se convirtió en una máquina de spam infestada con malware, puede revertirla fácilmente a una buena instantánea conocida o cancelarla por completo con un solo clic.

La implementación de su proyecto en una máquina virtual también es una buena manera de aprender cómo configurar un servidor "real" para su proyecto más adelante, si decide alquilar uno.

Un software gratuito (como en Beer) que permite esto es Virtual Box , por ejemplo.

    
respondido por el Philipp 14.02.2016 - 22:58
fuente
7

De hecho, no importa mucho para un atacante típico, ya sea que anuncies o no tu servicio. Los atacantes típicos escanean rutinariamente todos los números de IP disponibles para servidores web e intentan atacarlos tan pronto como se conectan.

El único efecto adverso de la publicidad puede ser una sobrecarga de tráfico y la falta de disponibilidad de su servidor por este motivo.

Debe considerar la seguridad tan pronto como se conecte.

    
respondido por el jknappen 15.02.2016 - 11:15
fuente
2

Esto no tiene por qué ser una preocupación. O puede ser una preocupación importante.

¿Qué más hay en tu máquina?

Si la respuesta es "nada más que me importe; esta es una máquina en la que instalé Windows la semana pasada, y no hay datos confidenciales en ella, y se hizo una copia de seguridad de cualquier información importante hace tres minutos, y yo ' Estoy dispuesto a borrar todo en caso de que un atacante le haga cosas malas a mi sistema, y no hay otras computadoras en la red que puedan ser atacadas por esta máquina falsa ", entonces, por supuesto, siga adelante.

Y para que no creas que estoy siendo ridículamente sarcástico: ahora mismo tengo dos de esas máquinas en mi casa. Se arrancan desde los Live CD, con una seguridad mínima aplicada (solo se cambiaron dos contraseñas predeterminadas), pero están protegidos por un firewall y el sistema operativo desaparecerá de manera efectiva una vez que apague el equipo más tarde esta semana.

Mis principales preocupaciones son que alguien pueda acceder al resto de mi sistema o que pueda eliminar archivos del sitio.

Su seguridad suena bastante mínima y es razonable creer que puede ser atacado con bastante rapidez. O consiga las cosas mucho más seguras, o haga que no tenga que preocuparse por los atacantes que destruyen su sistema. Su enfoque más sencillo podría ser gastar dinero comprando otra computadora (tal vez usada) que no le interesa, de modo que no esté asumiendo un montón de riesgos innecesarios con las cosas que más le interesan.

Por cierto, me gustaría volver a enfatizar la idea de las copias de seguridad. Piense acerca de qué datos son importantes y asegúrese de que todos estén respaldados. Si ese no es el caso, entonces sugiero que se dé prioridad a ese proyecto (de copia de seguridad de los datos) a través de la experimentación con la adición de nuevos servicios.

    
respondido por el TOOGAM 16.02.2016 - 08:43
fuente

Lea otras preguntas en las etiquetas

¿Es posible descifrar una señal de TV satelital sin usar una tarjeta inteligente? ¿Debo confiar en un sitio web que se rompe cuando uso una contraseña compleja?