在某种程度上,互联网上的每个网站都容易受到安全攻击。从人为错误到 *** 犯罪团伙的复杂攻击都在威胁范围内。
*** 攻击者的主要动机是赚钱。无论您是运营电子商务项目还是简单的小型商业网站,潜在攻击的风险都在那里。
知己知彼,百战不殆。在当今 *** 时代,知道自己面临的威胁比以往任何时候都更重要。每一次恶意攻击都有自己的特点。不同类型的攻击太多了,似乎不太可能全面抵御所有攻击,没有死角。但我们仍然可以做很多工作来保护网站,减轻恶意黑客对网站的风险。
从仔细审视互联网上最常见的10种 *** 攻击开始,看看你能采取什么 *** 来保护你的网站。
10常见的网站安全攻击
1. 跨站脚本(XSS)Precise Security
最近的一项研究表明,跨站脚本攻击约占所有攻击的40%,是最常见的 *** 攻击类型。然而,尽管最常见的是,大多数跨站脚本攻击并不是特别高端,而是由业余 *** 罪犯使用他人编写的脚本发起的。
跨站脚本针对网站用户,而不是网站用户Web应用程序本身。恶意黑客在有漏洞的网站上注入代码,然后网站访问者执行代码。这些代码可以入侵用户账户,激活木马程序,或修改网站内容,诱用户提供私人信息。
设置Web应用防火墙(WAF)能保护网站不受跨站脚本攻击的伤害。WAF它就像一个过滤器,可以识别和阻止恶意的网站要求。购买网站托管服务时,Web托管公司通常已经部署了你的网站WAF,但是你还是可以自己设置另一个。
2. 注射攻击
开放Web应用安全项目(OWASP)在新发布的十大应用安全风险研究中,注入漏洞被列为网站的更高风险因素。SQL *** 罪犯最常用的注入 *** 是注入 *** 。
注入攻击 *** 直接针对网站和服务器的数据库。在执行过程中,攻击者注入可以揭示隐藏数据和用户输入的代码,获得数据修改权限,并完全捕获应用程序。
保护网站免受注入攻击,主要用于代码库建设。例如,缓解SQL注入风险的首选 *** 是始终使用参数句。此外,您可以考虑使用第三方身份验证工作流来外包您的数据库保护。
3. 模糊测试
开发人员使用模糊测试来查找软件、操作系统或 *** 中的编程错误和安全漏洞。然而,攻击者可以使用相同的技术在你的网站或服务器上找到漏洞。
采用模糊测试 *** ,攻击者首先向应用程序输入大量随机数据(模糊),使应用程序崩溃。下一步是使用模糊测试工具来发现应用程序的弱点。如果目标应用程序中漏洞,攻击者可以进一步利用漏洞。
对抗模糊攻击的更佳 *** 就是保持更新安全设置和其他应用,尤其是在安全补丁发布后不更新就会遭遇恶意黑客利用漏洞的情况下。
4. 零日攻击
零日攻击是模糊攻击的扩展,但不需要识别漏洞本身。谷歌发现了这种攻击的最新案例,他们在Windows和Chrome在软件中发现了潜在的零日攻击。
在这两种情况下,恶意黑客可以从零日攻击中获利。之一种情况是,如果你能获得关于即将到来的安全更新的信息,攻击者可以在更新上线前分析漏洞的位置。第二种情况是, *** 罪犯获取补丁信息,然后攻击尚未更新系统的用户。在这两种情况下,系统安全将被破坏,这取决于黑客的技术。
保护自己和网站不受零日攻击影响的最简单 *** 就是在新版本发布后及时更新软件。
5. 路径(目录)遍历
路径遍历攻击不像上述攻击 *** 那么常见,但仍然是任何一种Web应用程序的主要威胁。
针对路径遍历攻击Web root文件夹,访问目标文件夹外的未经授权的文件或目录。攻击者试图将移动模式注入服务器目录,以便向上爬。成功的路径遍历攻击可以获得网站访问权,染色同一实体服务器上的文件、数据库和其他网站和文件。
网站能否抵御路径遍历攻击,取决于你的输入净化程度。这意味着用户输入安全,用户输入内容无法从您的服务器中恢复。最直观的建议是建立你的代码库,这样用户的任何信息都不会传输到文件系统API。即使这条路走不通,也有其他技术解决方案可用。
6. 分布式拒绝服务(DDoS)
DDoS攻击本身并不能使恶意黑客突破安全措施,但会使网站暂时或永久下降。2017年卡巴斯基实验室IT安全风险调查指出,单次DDoS攻击使小企业平均损失12.3万美元,大型企业的损失水平在230万美元左右。
DDoS目标是用要求洪水压垮目标Web服务器使其他访客无法访问该网站。僵尸 *** 通常可以使用之前感染的计算机从世界各地发送大量请求。DDoS攻击通常与其他攻击 *** 相匹配;攻击者使用DDoS攻击吸引安全系统的火力,从而暗中利用漏洞入侵系统。
保护网站免受伤害DDoS攻击侵权通常从几个方面开始。首先, *** 需要通过内容分发。(CDN)、负载平衡器和可扩展资源缓解高峰流量。其次,需要部署Web应用防火墙(WAF),防止DDoS其他 *** 攻击 *** ,如攻击隐蔽注入攻击或跨站脚本。
7. 中间人攻击
中间人攻击常见于用户与服务器间传输数据不加密的网站。作为用户,只要看看网站的URL是不是以HTTPS这种潜在的风险可以在一开始就找到,因为HTTPS中的“S”指数据加密,缺失“S”未加密。
攻击者使用中间人类型的攻击来收集信息,通常是敏感信息。恶意黑客可能会拦截数据,如果数据不加密,攻击者可以很容易地读取个人信息、登录信息或其他敏感信息。
在网站上安装安 *** 接字层(SSL)可以缓解中间人攻击的风险。SSL攻击者即使拦截了证书,也无法轻易破解各方传输的信息。现代托管提供商通常在托管服务包中配置SSL证书。
8. 暴力破解攻击
暴力破解攻击攻击Web应用程序登录信息是一种相当直接的方式。但它也是一种非常容易缓解的攻击 *** ,特别是从用户侧面。
在暴力破解攻击中,攻击者试图猜测用户名和密码对,以便登录用户账户。当然,即使使用多台计算机,破解过程也可能需要几年的时间,除非密码相当简单和明显。
保护登录信息的更佳 *** 是创建强密码或使用双因子身份验证(2FA)。作为网站所有者,您可以要求用户同时设置强密码2FA,为了缓解 *** 罪犯猜测密码的风险。
9. 使用未知代码或第三方代码
虽然不是直接攻击网站,但使用由第三方创建的未经验证代码也可能导致严重的安全漏洞。
代码或应用程序的原始创建者可能会在代码中隐藏恶意字符串,或者无意中离开后门。“受感染”如果将代码引入网站,您将面临恶意字符串执行或后门使用的风险。其后果可以从简单的数据传输到网站管理权限的下降。
为了避免潜在数据泄露的风险,请让您的开发人员分析和审计代码的有效性。此外,确保所使用的插件(特别是WordPress及时更新插件,并定期接收安全补丁:研究表明,超过1.7万个WordPress插件(约占当时采样数量的47%)两年内未更新。
10. *** 钓鱼
*** 钓鱼是另一种没有直接针对网站的攻击 *** ,但我们不能将其排除在名单之外,因为 *** 钓鱼也会破坏您系统的完整性。FBI《互联网犯罪报告》的说法,其原因在于 *** 钓鱼是最常见的社会工程 *** 犯罪。
*** 钓鱼攻击中使用的标准工具是电子邮件。攻击者通常伪装成他人,以欺骗受害者提供敏感信息或执行银行转账。这种攻击可能是一个奇怪的419骗局(属于预付费欺诈骗局),也可能是假电子邮件地址、看似真实的网站和令人信服的高端攻击。后者以鱼叉 *** 钓鱼的名义而闻名。
缓解 *** 钓鱼骗局风险最有效的 *** 是培养员工和自己,提高识别此类欺诈的能力。保持警惕,总是检查发送者的电子邮件地址是否合法,电子邮件内容是否奇怪,请求是否不合理。另外,记住:馅饼不会从天上掉下来,一定有恶魔。
结语
攻击网站的形式有很多种,攻击者可以是业余黑客,也可以是协同作战的职业黑客团伙。
最重要的建议是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果。
虽然不可能完全消除网站攻击的风险,但至少可以缓解攻击的可能性和后果的严重性。