如果打算为项目选择一款免费、开源的数据库,那么你可能会在MySQL与PostgreSQL之间犹豫不定。MySQL与PostgreSQL都是免费、开源、强大、且功能丰富的数据库。你主要的问题可能是:哪一个才是最好的开源数据库,MySQL还是PostgreSQL呢?该选择哪一个开源数据库呢?
创新互联于2013年开始,先为港南等服务建站,港南等地企业,进行企业商务咨询服务。为港南企业网站制作PC+手机+微官网三网同步一站式服务解决您的所有建站问题。
在选择数据库时,你所做的是个长期的决策,因为后面如果再改变决定将是非常困难且代价高昂的。你希望一开始就选择正确。两个流行的开源数据库MySQL与PostgreSQL常常成为最后要选择的产品。对这两个开源数据库的高层次概览将会有助于你选择最适合自己需要的。
MySQL
MySQL相对来说比较年轻,首度出现在1994年。它声称自己是最流行的开源数据库。MySQL就是LAMP(用于Web开发的软件包,包括Linux、Apache及Perl/PHP/Python)中的M。构建在LAMP栈之上的大多数应用都会使用MySQL,包括那些知名的应用,如WordPress、Drupal、Zend及phpBB等。
一开始,MySQL的设计目标是成为一个快速的Web服务器后端,使用快速的索引序列访问方法(ISAM),不支持ACID。经过早期快速的发展之后,MySQL开始支持更多的存储引擎,并通过InnoDB引擎实现了ACID。MySQL还支持其他存储引擎,提供了临时表的功能(使用MEMORY存储引擎),通过MyISAM引擎实现了高速读的数据库,此外还有其他的核心存储引擎与第三方引擎。
MySQL的文档非常丰富,有很多质量不错的免费参考手册、图书与在线文档,还有来自于Oracle和第三方厂商的培训与支持。
MySQL近几年经历了所有权的变更和一些颇具戏剧性的事件。它最初是由MySQL
AB开发的,然后在2008年以10亿美金的价格卖给了Sun公司,Sun公司又在2010年被Oracle收购。Oracle支持MySQL的多个版本:Standard、Enterprise、Classic、Cluster、Embedded与Community。其中有一些是免费下载的,另外一些则是收费的。其核心代码基于GPL许可,对于那些不想使用GPL许可的开发者与厂商来说还有商业许可可供使用。
现在,基于最初的MySQL代码还有更多的数据库可供选择,因为几个核心的MySQL开发者已经发布了MySQL分支。最初的MySQL创建者之一Michael
"Monty"
Widenius貌似后悔将MySQL卖给了Sun公司,于是又开发了他自己的MySQL分支MariaDB,它是免费的,基于GPL许可。知名的MySQL开发者Brian
Aker所创建的分支Drizzle对其进行了大量的改写,特别针对多CPU、云、网络应用与高并发进行了优化。
PostgreSQL
PostgreSQL标榜自己是世界上最先进的开源数据库。PostgreSQL的一些粉丝说它能与Oracle相媲美,而且没有那么昂贵的价格和傲慢的客服。它拥有很长的历史,最初是1985年在加利福尼亚大学伯克利分校开发的,作为Ingres数据库的后继。
PostgreSQL是完全由社区驱动的开源项目,由全世界超过1000名贡献者所维护。它提供了单个完整功能的版本,而不像MySQL那样提供了多个不同的社区版、商业版与企业版。PostgreSQL基于自由的BSD/MIT许可,组织可以使用、复制、修改和重新分发代码,只需要提供一个版权声明即可。
可靠性是PostgreSQL的最高优先级。它以坚如磐石的品质和良好的工程化而闻名,支持高事务、任务关键型应用。PostgreSQL的文档非常精良,提供了大量免费的在线手册,还针对旧版本提供了归档的参考手册。PostgreSQL的社区支持是非常棒的,还有来自于独立厂商的商业支持。
数据一致性与完整性也是PostgreSQL的高优先级特性。PostgreSQL是完全支持ACID特性的,它对于数据库访问提供了强大的安全性保证,充分利用了企业安全工具,如Kerberos与OpenSSL等。你可以定义自己的检查,根据自己的业务规则确保数据质量。在众多的管理特性中,point-in-time
recovery(PITR)是非常棒的特性,这是个灵活的高可用特性,提供了诸如针对失败恢复创建热备份以及快照与恢复的能力。但这并不是PostgreSQL的全部,项目还提供了几个方法来管理PostgreSQL以实现高可用、负载均衡与复制等,这样你就可以使用适合自己特定需求的功能了。
平台
MySQL与PostgreSQL都出现在一些高流量的Web站点上:
MySQL:Slashdot、Twitter、Facebook与Wikipedia
PostgreSQL:Yahoo使用了一个修改的PostgreSQL数据库来处理每天数以亿计的事件,还有Reddit和Disqus
MySQL与PostgreSQL都能运行在多个操作系统上,如Linux、Unix、Mac OS
X与Windows。他们都是开源、免费的,因此测试他们时的唯一代价就是你的时间与硬件。他们都很灵活且具有可伸缩性,可用在小型系统和大型分布式系统上。MySQL在一个领域上要比PostgreSQL更进一步,那就是它的触角延伸到了嵌入式领域,这是通过libmysqld实现的。PostgreSQL不支持嵌入式应用,依然坚守在传统的客户端/服务器架构上。
MySQL通常被认为是针对网站与应用的快速数据库后端,能够进行快速的读取和大量的查询操作,不过在复杂特性与数据完整性检查方面不太尽如人意。PostgreSQL是针对事务型企业应用的严肃、功能完善的数据库,支持强ACID特性和很多数据完整性检查。他们二者都在某些任务上具有很快的速度,MySQL不同存储引擎的行为有较大差别。MyISAM引擎是最快的,因为它只执行很少的数据完整性检查,适合于后端读操作较多的站点,不过对于包含敏感数据的读/写数据库来说就是个灾难了,因为MyISAM表最终可能会损坏。MySQL提供了修复MySQL表的工具,不过对于敏感数据来说,支持ACID特性的InnoDB则是个更好的选择。
与之相反,PostgreSQL则是个只有单一存储引擎的完全集成的数据库。你可以通过调整postgresql.conf文件的参数来改进性能,也可以调整查询与事务。PostgreSQL文档对于性能调优提供了非常详尽的介绍。
MySQL与PostgreSQL都是高可配置的,并且可以针对不同的任务进行相应的优化。他们都支持通过扩展来添加额外的功能。
一个常见的误解就是MySQL要比PostgreSQL更容易学习。关系数据库系统都是非常复杂的,这两个数据库的学习曲线其实是差不多的。
标准兼容性
PostgreSQL旨在实现SQL兼容性(当前标准是ANSI-SQL:2008)。MySQL则兼容大部分SQL,不过还有自己的扩展,可以支持NoSQL特性,这在参考手册中都有介绍。每种方式都有优缺点。兼容标准会让数据库管理员、数据库开发者与应用开发者更舒服一些,因为这意味着他们只需学习一套标准、一套特性和命令即可。这会节省时间,提升效率,也不会被锁定在特定的厂商上。
支持使用非标准的自定义功能的人们认为这样可以快速采用新的特性,而不必等待标准进程完成。ANSI/ISO标准在不断演化,因此标准兼容性也是个变化的目标:知名的关系型数据库Microsoft
SQL Server、Oracle与IBM DB2也只是部分兼容于标准。
结论
虽然有不同的历史、引擎与工具,不过并没有明确的参考能够表明这两个数据库哪一个能够适用于所有情况。很多组织喜欢使用PostgreSQL,因为它的可靠性好,在保护数据方面很擅长,而且是个社区项目,不会陷入厂商的牢笼之中。MySQL更加灵活,提供了更多选项来针对不同的任务进行裁剪。很多时候,对于一个组织来说,对某个软件使用的熟练程度要比特性上的原因更重要。
如果您对Wireshark、procmon和Windows Sysinternals不感兴趣,那么您可能处于错误的位置。
恶意软件分析允许分析人员看到采取了什么行动,并允许我们使用这些行动来建立一个配置文件,可以用来检测和阻止进一步的感染,并找到相关的感染。 在实验室中运行恶意软件以确定它们的行为方式,我们给它们不同的输入来观察行为的变化,我们通过调试器运行它们以禁用安全措施,并检查它们可能具有的与对抗分析的功能,我们甚至可能使用反汇编器来更全面地了解恶意软件可能采取的路径。使用这些工具和技术,恶意软件分析师建立一个指标列表,可以用来检测和阻止他们正在检查的恶意软件,建立信息谁可能是他们的网络目标,甚至是恶意软件可能收集什么。 我将把我的注意力集中在行为分析上,并给出一些例子来说明威胁狩猎和这种技术可以做些什么。
一、恶意软件的行为分析
行为分析是在受控条件下运行恶意软件的步骤,在此你可以观察到恶意软件所采取的行动。通过在一个完全隔离的环境中运行恶意软件,我们可以知道如果它无法通信,它会做什么。通过行为分析,你可以一步一步地做每件事。当它完全隔离时,它是否尝试扫描网络?如果是,那么继续,将其添加到1,看看会发生什么。之后它会开始寻找吗?把它给它。这种类型的分析的主要目标是看在一个逐步的过程中恶意软件做什么,允许你映射它的不同的行动,并在你开始检查它在调试器或通过反汇编之前有一个更好的全面的恶意软件的画面。我想说这是分析过程中比较有趣的部分之一。
二、用于恶意软件分析的基本实验室环境
你的基本实验室环境应该包括:
VMware/Virtualbox配置以下电脑:
安装了Wireshark、进程监视器和procDOT的Windows。
REMnux(预装了你需要的所有东西)
确保您的虚拟机被设置为仅网络主机,并且通过设置一个静态IP地址,您的windows机器将REMnux box作为默认网关。这确保了第一个跃点将是REMnux,并将允许我们想要的流量控制。
三、恶意软件分析工具
有几个工具,你想使用,以收集最多的信息,你可以:
Wireshark:该工具用于收集给定接口上的网络流量。以下选项将允许您查看页面和流量,它甚至允许您重新创建和保存在包捕获运行时传输的文件。
进程监视器(procmon):这个工具用来记录计算机在被监视的时间内的全部活动。这对于详细描述进程所采取的操作非常有用。
ProcDOT:这个工具从进程监视器中获取一个CSV,并可以将特定进程所做的工作作为流程图显示给您。这样就更容易解释发生了什么,以及发生的顺序。
FakeDNS:这个工具是REMnux中包含的脚本,它用自己的信息响应所有DNS请求,并将请求的域输出到终端。这对于确定连接到它的每台计算机正在请求什么域非常有用。
accept-all-ips:这个工具也是REMnux中包含的脚本。这将把所有IP流量重定向到REMnux主机。如果在活动环境中激活,将非常危险,但对于强制传输到分析机器非常有用。
INetSim:这是一个软件套件,可以在web上模拟许多常见的服务/协议。如果需要的话,这个套件甚至可以为恶意软件样本提供良好的可执行文件。
四、通过行为分析运行恶意软件
当你运行恶意软件时,确保启动procmon和Wireshark在Windows主机上,总是在你启动恶意软件之前。这样可以确保你捕捉到所有的恶意软件活动。一旦你完成了恶意软件,你将能够保存procmon结果,并在procdDOT中打开它们。这将让你对恶意软件的所作所为有一个很好的了解。确保检查Wireshark以及任何未知的流量。一旦你可以看到它什么都不做,你可以重置你的windows机器并重新开始。是的,每次操作都会重复重置,但您总是希望从一个干净的环境开始。当你确定了恶意软件要找的是什么,建立你的REMnux系统或清洁环境,给它想要的。您确实希望重复此操作,直到您无法确定它需要什么,或者它停止询问新内容为止。在这一点上,你应该有一个很好的IP地址,域名,文件等恶意软件正在寻找,或接触。
请确保对系统进行调优,以便对发现的这些指示器发出警报。您不希望因为忘记查找刚刚找到的信息而导致类似的感染。对于你所拥有的恶意软件样本,还有其他类型的分析,但对于这一点,让我们集中在下一步,看看我们的指标列表可以帮助我们。
五、让我们用恶意软件分析来寻找威胁
一旦你确定了恶意软件要寻找的是什么,你就有了一个开始寻找其他威胁的好地方。在网络上寻找其他可能具有类似构建的地方(即使它恰好是您的所有工作站)并进行搜索。通过直接查询日志或通过SIEM检查系统日志,也可以使用类似的活动来发现威胁。如果你注意到恶意软件在建立网络连接时使用了一个非标准的用户代理,那么通过你的代理日志查看该代理和类似的代理可以很好地找到类似的威胁。端口和域名也是如此。大多数时候,如果一个工具能用,用户会坚持使用它。部署恶意软件的恶意行为者也是如此。如果我以WordPress为例,并不是说它不是最安全的平台,当黑客攻击发生时,通常会有一个文件被添加到一个include文件夹中,而恶意软件可能会直接指向该文件。然后,最好在防火墙和代理显示流量的域名中检查类似的路径。这通常可以揭示您环境中的不同威胁。在这种类型的搜索中要彻底。仅仅因为您现在阻止了指示符和活动并触发了警报,并不意味着在您将这些检查和块就位之前,另一个系统不会受到影响。
确保你能访问发现恶意软件的计算机的日志。如果你能获得关于网络流量的信息就更好了。使用这些和你在逆向工程后对恶意软件的了解,你应该能够确定恶意软件是否允许其他恶意活动进入网络。如果是这样,日志和网络流应该会给您一些线索,让您知道还允许进入哪些内容,以及它是否使用计算机进行了任何横向移动。
恶意软件分析和威胁搜索是用来确保我们的网络保持安全的两个概念和技术。当我们把这些概念联系在一起时,我们可以更有效地确定威胁的范围。行为分析只是恶意软件分析过程中的一个步骤,可以提供帮助。更多类型的恶意软件分析和逆向工程,提供行为分析无法获取的信息,您可以使用它们来进一步搜索威胁。
随着网站业务所承载内容的日益增多且重要性日益增强,网站本身的价值也越来越大,随之由网站漏洞带来的安全性问题也愈发严峻。新开通网站、新增专栏的准入质量评估,网站系统日常运行状况的检查预防和风险掌控,这些已成为各行业每年安全大检查中的关键要素。作为具体落实定期检查工作的安全人员,也急需选择一款优秀的网站扫描产品进行高效彻底的Web脆弱性评估检查,而如何选择一款真正实用的产品成为一个比较纠结的难题。
常见Web扫描方案的优劣势
目前常见的支持Web扫描解决方案的产品有很多,大家比较熟悉的有集成Web扫描模块的多合一系统扫描器,网上可免费下载的开源扫描器软件以及近几年刚崭露头角的独立Web扫描器产品等,都可以进行一定程度的Web安全扫描和漏洞发现。那么面对如此琳琅满目的选择时,大家如何细致区分辨识其差异,就需严格立足于实际需要,最终做出最佳的判断。
多合一的系统扫描器,通常会集主机扫描、配置核查、Web扫描及弱口令扫描于一身,是一款强大全面的多功能产品。但多合一的高度封装导致其在进行安全扫描时,除不能分配全部计算资源在Web扫描方面,扫描引擎自身还要兼顾到全方位的权衡与调优。反观目标Web应用呈现的种类多样性、规模庞大性和运行特殊性,在面对动辄上万、十万甚至百万级别网页数量的网站时,这种多合一产品就表现得差强人意,使用起来有种牛拉火车的感觉;同时,高效执行扫描评估就必须具备高并发的网页链接爬虫识别和Web插件交互逻辑判断能力,这一现实的冲突导致多合一扫描器在Web扫描及性能体验方面效果平平,优势不突出。
网上开源的Web扫描器软件,尽管完全免费并可以发现一些基本的漏洞信息,但其在第一时间发现新爆Web漏洞和漏洞趋势跟踪分析、修补方面,完全不具备后期支撑能力。而且在人性化设计及低学习门槛方面也存在太多先天的不足,其性能与稳定性更是与商业软件相差甚远。
面对综上同类产品,困惑于Web扫描场景需求种种局限的我们,很欣喜地看到了近几年声名鹊起的Web扫描器产品。它作为一款自动化评估类工具,依据制定的策略对Web应用系统进行URL深度发现并全面扫描,寻找出Web应用真实存在的安全漏洞,如跨站点脚本、SQL注入,命令执行、目录遍历和不安全的服务器配置。Web扫描器产品可以通过主动生成统计分析报告来帮助我们正确了解Web应用漏洞的详细分布、数量和风险优先级,并对发现的安全漏洞提出相应有力的改进意见供后续修补参考,是帮助我们高效彻底地进行Web脆弱性评估检查的坚实利器。
Web扫描器的三个误区
针对现有市面上诸多品牌的Web扫描器,大家在评价它们孰优孰劣时时常过于片面极端,主要表现为三个认识误区。
误区1:多就是好!
认为漏洞库条目多,检查出来的漏洞多就是好。Web扫描器面对庞大繁多、千差万别的应用系统,为提升检测性能,多采用高效率的Web通用插件,以一扫多,其不再局限于某个专门应用系统,深层次聚合归并,尽可能多地发现多种应用系统的同类漏洞。同时,对于扫描出来的非误报漏洞,若同属某一页面不同参数所致的相同漏洞,归纳整理,让最终呈现的漏洞报表简约而不简单,避免数量冗余、杂乱无章。故若以毫无插件归并能力,仅靠大量专门Web系统插件、罗列各类漏洞列表数量多来博取赞许的Web扫描器,其本质存在太多的不专业性。
误区2:快就是好!
认为扫描速度快耗时短的就是好。网站规模日趋复杂,日常检查时我们期待Web扫描器能有更高效率地完成扫描任务,这点无可厚非,但检查的本质是要最大限度地提前发现足够多的漏洞,并第一时间制定后续相应的修补计划。故在面对同一目标站点时,Web扫描器若能在单位时间内检测出来的有效存在漏洞数越多,这个快才是真的好。
误区3:小就是好!
认为扫描过程中对目标业务影响小就是好!这句话本身也没有问题,只要Web扫描器在执行扫描过程中,对目标系统负载响应和网络链路带宽占用,影响足够小,也就是我们常说的“无损扫描”,它就具备了一款优秀Web扫描器应有的先决条件。但是,这必须是在能最大限度发现Web漏洞的前提下才能考虑的关键因素,脱离这个产品本质,就本末倒置了。
五个基本评优标准
那么,评优一款Web扫描器,我们该从何处着手?具体的判断标准有哪些呢?
全——识别种类繁多的Web应用,集成最全的Web通用插件,通过全面识别网站结构和内容,逐一判断每一种漏洞可能性,换句话说,漏洞扫描的检测率一定要高,漏报率务必低,最终才能输出全面详尽的扫描报告。这就要求其在Web应用识别方面,支持各类Web语言类型(php、asp、.net、html)、应用系统类型(门户网站、电子政务、论坛、博客、网上银行)、应用程序类型(IIS、Apache、Tomcat)、第三方组件类型(Struts2、WebLogic、WordPress)等;插件集成方面,支持国际标准漏洞分类OWASP TOP 10和WASC插件分类模板,允许自定义扫描插件模板,第一时间插件更新速度等。
准——较高的漏洞准确性是Web扫描器权威的象征,可视化分析可助用户准确定位漏洞、分析漏洞。而误报是扫描类产品不能回避的话题。Web扫描器通过通用插件与目标站点任一URL页面进行逻辑交互,通过可视化的漏洞跟踪技术,精准判断和定位漏洞,并提供易读易懂的详细整改分析报告。除此之外,一款好的Web扫描器还要更具人性化,在漏洞发现后,允许扫描者进行手工、自动的漏洞批量验证,进而双重保障较高的准确性结果。
快——快速的扫描速度,才能在面对越来越大的网站规模,越发频繁的网站检查时游刃有余,进度保障。一款快速的Web扫描器除了有强劲马力的扫描引擎,高达百万/天的扫描速度,还要具备弹性灵活的集群扫描能力,任意增添扫描节点,轻松应对可能苛刻的扫描周期时间要求。
稳——稳定可靠的运行过程,对目标环境近乎零影响的Web扫描器,才能在诸行业大面积投入使用,特别是一些对业务影响要求苛刻的行业会更受青睐,毕竟没有人能够接受一款评估类产品,会对目标造成额外的损伤。市面上现在已有一些Web扫描器产品,其通过周期探寻目标系统,网络链路,自身性能负载等机制,依据目标环境的负载动态变化而自动调节扫描参数,从而保障扫描过程的足够稳定和几乎零影响。此外,随着网站规模,检查范围的不断扩大,保证持续稳定的扫描执行和统计评估,尽量避免扫描进度的半途而废,也提出了较高的可靠性运行要求。
易——人性化的界面配置,低成本的报表学习和强指导性修补建议。尤其是漏洞分布详情和场景重现方面,市面上大多数Web扫描器的报表都需要专业安全人员的二次解读后,普通的安全运维检查人员才能看懂,才知道长达百页报表给出的重要建议和下一步的具体修补措施,这无疑给使用者造成了较高的技术门槛,那么如何解决此易读、易用问题,就成为评定其优劣与否的一个重要指标。
总之,一款优秀的Web扫描器产品,它需要严格恪守五字核心方针,全、准、快、稳、易,做到全方位均衡,这样才能做到基本优秀。同时,随着网站检查诉求的日益多元化,它若能附带一些差异化特性,满足大家不同场景的网站安全运维扫描要求,如网站基本信息搜集,漏洞全过程时间轴跟踪,逐步可视化的漏洞验证和场景重现,自动修补直通车等,定会大大增加该款扫描器的评优力度。
