10種常見(jiàn)網(wǎng)站安全攻擊手段及防御方法
發(fā)布時(shí)間:2021-11-19 11:33
來(lái)源:數世咨詢(xún)
閱讀:0
作者:nana
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
在某種程度上�����,互聯(lián)網(wǎng)上的每個(gè)網(wǎng)站都容易遭受安全攻擊�。從人為失誤到網(wǎng)絡(luò )罪犯團伙發(fā)起的復雜攻擊均在威脅范圍之內��。
在某種程度上���,互聯(lián)網(wǎng)上的每個(gè)網(wǎng)站都容易遭受安全攻擊�。從人為失誤到網(wǎng)絡(luò )罪犯團伙發(fā)起的復雜攻擊均在威脅范圍之內�����。
者最主要的動(dòng)機是求財���。無(wú)論你運營(yíng)的是電子商務(wù)項目還是簡(jiǎn)單的小型商業(yè)網(wǎng)站�,潛在攻擊的風(fēng)險就在那里�。
知己知彼百戰不殆�����,當今網(wǎng)絡(luò )時(shí)代�����,了解自己面對著(zhù)何種威脅比以往任何時(shí)候都來(lái)得更為重要���。每種惡意攻擊都有自己的特性���,不同類(lèi)型的攻擊那么多��,似乎不太可能全方位無(wú)死角抵御全部攻擊��。但我們仍然可以做許多工作來(lái)保護網(wǎng)站���,緩解惡意黑客對網(wǎng)站造成的風(fēng)險���。
不妨先從仔細審視互聯(lián)網(wǎng)上最常見(jiàn)的10種網(wǎng)絡(luò )攻擊開(kāi)始�,看看能夠采取哪些辦法來(lái)保護你的網(wǎng)站���。
10種常見(jiàn)攻擊
1. 跨站腳本(XSS)Precise Security
近期的一項研究表明�����,跨站腳本攻擊大約占據了所有攻擊的40%��,是最為常見(jiàn)的一類(lèi)網(wǎng)絡(luò )攻擊�����。但盡管最為常見(jiàn)�����,大部分跨站腳本攻擊卻不是特別高端����,多為業(yè)余網(wǎng)絡(luò )罪犯使用別人編寫(xiě)的腳本發(fā)起的�����。
跨站腳本針對的是網(wǎng)站的用戶(hù)�����,而不是Web應用本身���。惡意黑客在有的網(wǎng)站里注入一段代碼�,然后網(wǎng)站訪(fǎng)客執行這段代碼��。此類(lèi)代碼可以入侵用戶(hù)賬戶(hù)�����,激活木馬程序���,或者修改網(wǎng)站內容��,誘騙用戶(hù)給出私人信息��。
設置Web應用防火墻(WAF)可以保護網(wǎng)站不受跨站腳本攻擊危害���。WAF就像個(gè)過(guò)濾器��,能夠識別并阻止對網(wǎng)站的惡意請求����。購買(mǎi)網(wǎng)站托管服務(wù)的時(shí)候��,Web托管公司通常已經(jīng)為你的網(wǎng)站部署了WAF�����,但你自己仍然可以再設一個(gè)���。
2. 注入攻擊
開(kāi)放Web應用安全項目(OWASP)新出爐的十大應用安全風(fēng)險研究中�,注入漏洞被列為網(wǎng)站最高風(fēng)險因素�����。SQL注入方法是網(wǎng)絡(luò )罪犯最常用的注入手法��。
注入攻擊方法直接針對網(wǎng)站和服務(wù)器的數據庫���。執行時(shí)���,攻擊者注入一段能夠揭示隱藏數據和用戶(hù)輸入的代碼�,獲得數據修改權限���,全面俘獲應用��。
保護網(wǎng)站不受注入攻擊危害�,主要落實(shí)到代碼庫構建上��。比如說(shuō)���,緩解SQL注入風(fēng)險的首選方法就是始終盡量采用參數化語(yǔ)句��。更進(jìn)一步���,可以考慮使用第三方身份驗證工作流來(lái)外包你的數據庫防護��。
3. 模糊測試
開(kāi)發(fā)人員使用模糊測試來(lái)查找軟件�、操作系統或網(wǎng)絡(luò )中的編程錯誤和安全漏洞�����。然而����,攻擊者可以使用同樣的技術(shù)來(lái)尋找你網(wǎng)站或服務(wù)器上的漏洞�。
采用模糊測試方法�,攻擊者首先向應用輸入大量隨機數據(模糊)讓?xiě)帽罎?���。下一步就是用模糊測試工具發(fā)現應用的弱點(diǎn)�。如果目標應用中存在漏洞����,攻擊者即可展開(kāi)進(jìn)一步漏洞利用����。
對抗模糊攻擊的最佳方法就是保持更新安全設置和其他應用��,尤其是在安全補丁發(fā)布后不更新就會(huì )遭遇惡意黑客利用漏洞的情況下�。
4. 零日攻擊
零日攻擊是模糊攻擊的擴展���,但不要求識別漏洞本身��。此類(lèi)攻擊最近的案例是谷歌發(fā)現的���,他們在Windows和Chrome軟件中發(fā)現了潛在的零日攻擊���。
在兩種情況下����,惡意黑客能夠從零日攻擊中獲利�。第一種情況是���,如果能夠獲得關(guān)于即將到來(lái)的安全更新的信息�����,攻擊者就可以在更新上線(xiàn)前分析出漏洞的位置��。第二種情況是���,網(wǎng)絡(luò )罪犯獲取補丁信息���,然后攻擊尚未更新系統的用戶(hù)�����。這兩種情況下����,系統安全都會(huì )遭到破壞�����,至于后續影響程度��,就取決于黑客的技術(shù)了�����。
保護自己和自身網(wǎng)站不受零日攻擊影響最簡(jiǎn)便的方法��,就是在新版本發(fā)布后及時(shí)更新你的軟件����。
5. 路徑(目錄)遍歷
路徑遍歷攻擊不像上述幾種攻擊方法那么常見(jiàn)�����,但仍然是任何Web應用的一大威脅����。
路徑遍歷攻擊針對Web root文件夾�����,訪(fǎng)問(wèn)目標文件夾外部的未授權文件或目錄���。攻擊者試圖將移動(dòng)模式注入服務(wù)器目錄��,以便向上爬升����。成功的路徑遍歷攻擊能夠獲得網(wǎng)站訪(fǎng)問(wèn)權�����,染指配置文件����、數據庫和同一實(shí)體服務(wù)器上的其他網(wǎng)站和文件����。
網(wǎng)站能否抵御路徑遍歷攻擊取決于你的輸入凈化程度���。這意味著(zhù)保證用戶(hù)輸入安全�����,并且不能從你的服務(wù)器恢復出用戶(hù)輸入內容�����。最直觀(guān)的建議就是打造你的代碼庫��,這樣用戶(hù)的任何信息都不會(huì )傳輸到文件系統API���。即使這條路走不通�,也有其他技術(shù)解決方案可用���。
6. 分布式拒絕服務(wù)(DDoS)
DDoS攻擊本身不能使惡意黑客突破安全措施��,但會(huì )令網(wǎng)站暫時(shí)或永久掉線(xiàn)�����?���?ò退够鶎?shí)驗室《2017年IT安全風(fēng)險調查》指出�,單次DDoS攻擊可令小企業(yè)平均損失12.3萬(wàn)美元��,大型企業(yè)的損失水平在230萬(wàn)美元左右�����。
DDoS旨在用請求洪水壓垮目標Web服務(wù)器����,讓其他訪(fǎng)客無(wú)法訪(fǎng)問(wèn)網(wǎng)站��。僵尸網(wǎng)絡(luò )通常能夠利用之前感染的計算機從全球各地協(xié)同發(fā)送大量請求����。而且����,DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDoS攻擊吸引安全系統火力��,從而暗中利用漏洞入侵系統�����。
保護網(wǎng)站免遭DDoS攻擊侵害一般要從幾個(gè)方面著(zhù)手����。首先���,需通過(guò)內容分發(fā)網(wǎng)絡(luò )(cdn/' target='_blank'>CDN)��、負載均衡器和可擴展資源緩解高峰流量�����。其次��,需部署Web應用防火墻(WAF)�,防止DDoS攻擊隱蔽注入攻擊或跨站腳本等其他網(wǎng)絡(luò )攻擊方法�。
7. 中間人攻擊
中間人攻擊常見(jiàn)于用戶(hù)與服務(wù)器間傳輸數據不加密的網(wǎng)站���。作為用戶(hù)�,只要看看網(wǎng)站的URL是不是以HTTPS開(kāi)頭就能發(fā)現這一潛在風(fēng)險了����,因為HTTPS中的“S”指的就是數據是加密的����,缺了“S”就是未加密�����。
攻擊者利用中間人類(lèi)型的攻擊收集信息��,通常是敏感信息���。數據在雙方之間傳輸時(shí)可能遭到惡意黑客攔截�,如果數據未加密����,攻擊者就能輕易讀取個(gè)人信息���、登錄信息或其他敏感信息���。
在網(wǎng)站上安裝安全套接字層(SSL)就能緩解中間人攻擊風(fēng)險����。SSLssl/' target='_blank'>證書(shū)加密各方間傳輸的信息�,攻擊者即使攔截到了也無(wú)法輕易破解?���,F代托管提供商通常已經(jīng)在托管服務(wù)包中配置了SSL證書(shū)�。
8. 暴力破解攻擊
暴力破解攻擊是獲取Web應用登錄信息相當直接的一種方式���。但同時(shí)也是非常容易緩解的攻擊方式之一���,尤其是從用戶(hù)側加以緩解最為方便�����。
暴力破解攻擊中�����,攻擊者試圖猜解用戶(hù)名和密碼對�����,以便登錄用戶(hù)賬戶(hù)��。當然��,即使采用多臺計算機��,除非密碼相當簡(jiǎn)單且明顯����,否則破解過(guò)程可能需耗費幾年時(shí)間����。
保護登錄信息的最佳辦法����,是創(chuàng )建強密碼�����,或者使用雙因子身份驗證(2FA)���。作為網(wǎng)站擁有者����,你可以要求用戶(hù)同時(shí)設置強密碼和2FA�,以便緩解網(wǎng)絡(luò )罪犯猜出密碼的風(fēng)險���。
9. 使用未知代碼或第三方代碼
盡管不是對網(wǎng)站的直接攻擊���,使用由第三方創(chuàng )建的未經(jīng)驗證代碼��,也可能導致嚴重的安全漏洞����。
代碼或應用的原始創(chuàng )建者可能會(huì )在代碼中隱藏惡意字符串�����,或者無(wú)意中留下后門(mén)�����。一旦將“受感染”的代碼引入網(wǎng)站���,那你就會(huì )面臨惡意字符串執行或后門(mén)遭利用的風(fēng)險�����。其后果可以從單純的數據傳輸直到網(wǎng)站管理權限陷落�。
想要避免圍繞潛在數據泄露的風(fēng)險�����,請讓你的開(kāi)發(fā)人員分析并審計代碼的有效性�����。此外�����,確保所用插件(尤其是WordPress插件)及時(shí)更新���,并定期接收安全補?����。貉芯匡@示�����,超過(guò)1.7萬(wàn)個(gè)WordPress插件(約占研究當時(shí)采樣數量的47%)兩年內沒(méi)有更新��。
10. 網(wǎng)絡(luò )釣魚(yú)
網(wǎng)絡(luò )釣魚(yú)是另一種沒(méi)有直接針對網(wǎng)站的攻擊方法����,但我們不能將它排除在名單之外�,因為網(wǎng)絡(luò )釣魚(yú)也會(huì )破壞你系統的完整性�。根據FBI《互聯(lián)網(wǎng)犯罪報告》的說(shuō)法��,其原因在于網(wǎng)絡(luò )釣魚(yú)是最常見(jiàn)的社會(huì )工程網(wǎng)絡(luò )犯罪��。
網(wǎng)絡(luò )釣魚(yú)攻擊用到的標準工具就是電子郵件����。攻擊者通常會(huì )偽裝成其他人�,誘騙受害者給出敏感信息或執行銀行轉賬���。此類(lèi)攻擊可以是古怪的419騙局(屬于預付費欺詐類(lèi)騙局)����,或者涉及假冒電子郵件地址�����、貌似真實(shí)的網(wǎng)站和極具說(shuō)服力用語(yǔ)的高端攻擊����。后者以魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)之名廣為人知��。
緩解網(wǎng)絡(luò )釣魚(yú)騙局風(fēng)險最有效的辦法���,是培訓員工和自身��,增強對此類(lèi)欺詐的辨識能力���。保持警惕�����,總是檢查發(fā)送者電子郵件地址是否合法�,郵件內容是否古怪����,請求是否不合常理�����。另外�����,謹記:天上不會(huì )掉餡餅��,事出反常必有妖���。
結語(yǔ)
針對網(wǎng)站的攻擊有多種形式�����,攻擊者既可以是業(yè)余黑客�����,也會(huì )是協(xié)同作戰的職業(yè)黑客團伙���。
最關(guān)鍵的一條建議�,就是在創(chuàng )建或運營(yíng)網(wǎng)站時(shí)不要跳過(guò)安全功能���,因為跳過(guò)安全設置可能會(huì )造成嚴重后果�。
雖然不可能完全消除網(wǎng)站攻擊風(fēng)險��,但你至少可以緩解遭攻擊的可能性和攻擊后果的嚴重性�。
原文地址:https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247488072&idx=2&sn=49716325eab03eed615d43de30ebaed7&chksm=c14760f5f630e9e3b74c262ca4c85184afabf22547feaffb39ce0e96d99ca82e07b08ebca1df&mpshare=1&s
