您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
10種常見(jiàn)網(wǎng)站安全攻擊手段及防御方法
在某種程度上,互聯(lián)網(wǎng)上的每個(gè)網(wǎng)站都容易遭受安全攻擊。從人為失誤到網(wǎng)絡(luò)罪犯團(tuán)伙發(fā)起的復(fù)雜攻擊均在威脅范圍之內(nèi)。
網(wǎng)絡(luò)攻擊者最主要的動(dòng)機(jī)是求財(cái)。無(wú)論你運(yùn)營(yíng)的是電子商務(wù)項(xiàng)目還是簡(jiǎn)單的小型商業(yè)網(wǎng)站,潛在攻擊的風(fēng)險(xiǎn)就在那里。
知己知彼百戰(zhàn)不殆,當(dāng)今網(wǎng)絡(luò)時(shí)代,了解自己面對(duì)著何種威脅比以往任何時(shí)候都來(lái)得更為重要。每種惡意攻擊都有自己的特性,不同類(lèi)型的攻擊那么多,似乎不太可能全方位無(wú)死角抵御全部攻擊。但我們?nèi)匀豢梢宰鲈S多工作來(lái)保護(hù)網(wǎng)站,緩解惡意黑客對(duì)網(wǎng)站造成的風(fēng)險(xiǎn)。
不妨先從仔細(xì)審視互聯(lián)網(wǎng)上最常見(jiàn)的10種網(wǎng)絡(luò)攻擊開(kāi)始,看看能夠采取哪些辦法來(lái)保護(hù)你的網(wǎng)站。
? 10種常見(jiàn)網(wǎng)站安全攻擊
1. 跨站腳本(XSS)Precise Security
近期的一項(xiàng)研究表明,跨站腳本攻擊大約占據(jù)了所有攻擊的40%,是最為常見(jiàn)的一類(lèi)網(wǎng)絡(luò)攻擊。但盡管最為常見(jiàn),大部分跨站腳本攻擊卻不是特別高端,多為業(yè)余網(wǎng)絡(luò)罪犯使用別人編寫(xiě)的腳本發(fā)起的。
跨站腳本針對(duì)的是網(wǎng)站的用戶,而不是Web應(yīng)用本身。惡意黑客在有漏洞的網(wǎng)站里注入一段代碼,然后網(wǎng)站訪客執(zhí)行這段代碼。此類(lèi)代碼可以入侵用戶賬戶,激活木馬程序,或者修改網(wǎng)站內(nèi)容,誘騙用戶給出私人信息。
設(shè)置Web應(yīng)用防火墻(WAF)可以保護(hù)網(wǎng)站不受跨站腳本攻擊危害。WAF就像個(gè)過(guò)濾器,能夠識(shí)別并阻止對(duì)網(wǎng)站的惡意請(qǐng)求。購(gòu)買(mǎi)網(wǎng)站托管服務(wù)的時(shí)候,Web托管公司通常已經(jīng)為你的網(wǎng)站部署了WAF,但你自己仍然可以再設(shè)一個(gè)。
2. 注入攻擊
開(kāi)放Web應(yīng)用安全項(xiàng)目(OWASP)新出爐的十大應(yīng)用安全風(fēng)險(xiǎn)研究中,注入漏洞被列為網(wǎng)站最高風(fēng)險(xiǎn)因素。SQL注入方法是網(wǎng)絡(luò)罪犯最常用的注入手法。
注入攻擊方法直接針對(duì)網(wǎng)站和服務(wù)器的數(shù)據(jù)庫(kù)。執(zhí)行時(shí),攻擊者注入一段能夠揭示隱藏?cái)?shù)據(jù)和用戶輸入的代碼,獲得數(shù)據(jù)修改權(quán)限,全面俘獲應(yīng)用。
保護(hù)網(wǎng)站不受注入攻擊危害,主要落實(shí)到代碼庫(kù)構(gòu)建上。比如說(shuō),緩解SQL注入風(fēng)險(xiǎn)的首選方法就是始終盡量采用參數(shù)化語(yǔ)句。更進(jìn)一步,可以考慮使用第三方身份驗(yàn)證工作流來(lái)外包你的數(shù)據(jù)庫(kù)防護(hù)。
3. 模糊測(cè)試
開(kāi)發(fā)人員使用模糊測(cè)試來(lái)查找軟件、操作系統(tǒng)或網(wǎng)絡(luò)中的編程錯(cuò)誤和安全漏洞。然而,攻擊者可以使用同樣的技術(shù)來(lái)尋找你網(wǎng)站或服務(wù)器上的漏洞。
采用模糊測(cè)試方法,攻擊者首先向應(yīng)用輸入大量隨機(jī)數(shù)據(jù)(模糊)讓?xiě)?yīng)用崩潰。下一步就是用模糊測(cè)試工具發(fā)現(xiàn)應(yīng)用的弱點(diǎn)。如果目標(biāo)應(yīng)用中存在漏洞,攻擊者即可展開(kāi)進(jìn)一步漏洞利用。
對(duì)抗模糊攻擊的最佳方法就是保持更新安全設(shè)置和其他應(yīng)用,尤其是在安全補(bǔ)丁發(fā)布后不更新就會(huì)遭遇惡意黑客利用漏洞的情況下。
4. 零日攻擊
零日攻擊是模糊攻擊的擴(kuò)展,但不要求識(shí)別漏洞本身。此類(lèi)攻擊最近的案例是谷歌發(fā)現(xiàn)的,他們?cè)赪indows和Chrome軟件中發(fā)現(xiàn)了潛在的零日攻擊。
在兩種情況下,惡意黑客能夠從零日攻擊中獲利。第一種情況是,如果能夠獲得關(guān)于即將到來(lái)的安全更新的信息,攻擊者就可以在更新上線前分析出漏洞的位置。第二種情況是,網(wǎng)絡(luò)罪犯獲取補(bǔ)丁信息,然后攻擊尚未更新系統(tǒng)的用戶。這兩種情況下,系統(tǒng)安全都會(huì)遭到破壞,至于后續(xù)影響程度,就取決于黑客的技術(shù)了。
保護(hù)自己和自身網(wǎng)站不受零日攻擊影響最簡(jiǎn)便的方法,就是在新版本發(fā)布后及時(shí)更新你的軟件。
5. 路徑(目錄)遍歷
路徑遍歷攻擊不像上述幾種攻擊方法那么常見(jiàn),但仍然是任何Web應(yīng)用的一大威脅。
路徑遍歷攻擊針對(duì)Web root文件夾,訪問(wèn)目標(biāo)文件夾外部的未授權(quán)文件或目錄。攻擊者試圖將移動(dòng)模式注入服務(wù)器目錄,以便向上爬升。成功的路徑遍歷攻擊能夠獲得網(wǎng)站訪問(wèn)權(quán),染指配置文件、數(shù)據(jù)庫(kù)和同一實(shí)體服務(wù)器上的其他網(wǎng)站和文件。
網(wǎng)站能否抵御路徑遍歷攻擊取決于你的輸入凈化程度。這意味著保證用戶輸入安全,并且不能從你的服務(wù)器恢復(fù)出用戶輸入內(nèi)容。最直觀的建議就是打造你的代碼庫(kù),這樣用戶的任何信息都不會(huì)傳輸?shù)轿募到y(tǒng)API。即使這條路走不通,也有其他技術(shù)解決方案可用。
6. 分布式拒絕服務(wù)(DDoS)
DDoS攻擊本身不能使惡意黑客突破安全措施,但會(huì)令網(wǎng)站暫時(shí)或永久掉線??ò退够鶎?shí)驗(yàn)室《2017年IT安全風(fēng)險(xiǎn)調(diào)查》指出,單次DDoS攻擊可令小企業(yè)平均損失12.3萬(wàn)美元,大型企業(yè)的損失水平在230萬(wàn)美元左右。
DDoS旨在用請(qǐng)求洪水壓垮目標(biāo)Web服務(wù)器,讓其他訪客無(wú)法訪問(wèn)網(wǎng)站。僵尸網(wǎng)絡(luò)通常能夠利用之前感染的計(jì)算機(jī)從全球各地協(xié)同發(fā)送大量請(qǐng)求。而且,DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDoS攻擊吸引安全系統(tǒng)火力,從而暗中利用漏洞入侵系統(tǒng)。
保護(hù)網(wǎng)站免遭DDoS攻擊侵害一般要從幾個(gè)方面著手。首先,需通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)、負(fù)載均衡器和可擴(kuò)展資源緩解高峰流量。其次,需部署Web應(yīng)用防火墻(WAF),防止DDoS攻擊隱蔽注入攻擊或跨站腳本等其他網(wǎng)絡(luò)攻擊方法。
7. 中間人攻擊
中間人攻擊常見(jiàn)于用戶與服務(wù)器間傳輸數(shù)據(jù)不加密的網(wǎng)站。作為用戶,只要看看網(wǎng)站的URL是不是以HTTPS開(kāi)頭就能發(fā)現(xiàn)這一潛在風(fēng)險(xiǎn)了,因?yàn)镠TTPS中的“S”指的就是數(shù)據(jù)是加密的,缺了“S”就是未加密。
攻擊者利用中間人類(lèi)型的攻擊收集信息,通常是敏感信息。數(shù)據(jù)在雙方之間傳輸時(shí)可能遭到惡意黑客攔截,如果數(shù)據(jù)未加密,攻擊者就能輕易讀取個(gè)人信息、登錄信息或其他敏感信息。
在網(wǎng)站上安裝安全套接字層(SSL)就能緩解中間人攻擊風(fēng)險(xiǎn)。SSL證書(shū)加密各方間傳輸?shù)男畔ⅲ粽呒词箶r截到了也無(wú)法輕易破解?,F(xiàn)代托管提供商通常已經(jīng)在托管服務(wù)包中配置了SSL證書(shū)。
8. 暴力破解攻擊
暴力破解攻擊是獲取Web應(yīng)用登錄信息相當(dāng)直接的一種方式。但同時(shí)也是非常容易緩解的攻擊方式之一,尤其是從用戶側(cè)加以緩解最為方便。
暴力破解攻擊中,攻擊者試圖猜解用戶名和密碼對(duì),以便登錄用戶賬戶。當(dāng)然,即使采用多臺(tái)計(jì)算機(jī),除非密碼相當(dāng)簡(jiǎn)單且明顯,否則破解過(guò)程可能需耗費(fèi)幾年時(shí)間。
保護(hù)登錄信息的最佳辦法,是創(chuàng)建強(qiáng)密碼,或者使用雙因子身份驗(yàn)證(2FA)。作為網(wǎng)站擁有者,你可以要求用戶同時(shí)設(shè)置強(qiáng)密碼和2FA,以便緩解網(wǎng)絡(luò)罪犯猜出密碼的風(fēng)險(xiǎn)。
9. 使用未知代碼或第三方代碼
盡管不是對(duì)網(wǎng)站的直接攻擊,使用由第三方創(chuàng)建的未經(jīng)驗(yàn)證代碼,也可能導(dǎo)致嚴(yán)重的安全漏洞。
代碼或應(yīng)用的原始創(chuàng)建者可能會(huì)在代碼中隱藏惡意字符串,或者無(wú)意中留下后門(mén)。一旦將“受感染”的代碼引入網(wǎng)站,那你就會(huì)面臨惡意字符串執(zhí)行或后門(mén)遭利用的風(fēng)險(xiǎn)。其后果可以從單純的數(shù)據(jù)傳輸直到網(wǎng)站管理權(quán)限陷落。
想要避免圍繞潛在數(shù)據(jù)泄露的風(fēng)險(xiǎn),請(qǐng)讓你的開(kāi)發(fā)人員分析并審計(jì)代碼的有效性。此外,確保所用插件(尤其是WordPress插件)及時(shí)更新,并定期接收安全補(bǔ)?。貉芯匡@示,超過(guò)1.7萬(wàn)個(gè)WordPress插件(約占研究當(dāng)時(shí)采樣數(shù)量的47%)兩年內(nèi)沒(méi)有更新。
10. 網(wǎng)絡(luò)釣魚(yú)
網(wǎng)絡(luò)釣魚(yú)是另一種沒(méi)有直接針對(duì)網(wǎng)站的攻擊方法,但我們不能將它排除在名單之外,因?yàn)榫W(wǎng)絡(luò)釣魚(yú)也會(huì)破壞你系統(tǒng)的完整性。根據(jù)FBI《互聯(lián)網(wǎng)犯罪報(bào)告》的說(shuō)法,其原因在于網(wǎng)絡(luò)釣魚(yú)是最常見(jiàn)的社會(huì)工程網(wǎng)絡(luò)犯罪。
網(wǎng)絡(luò)釣魚(yú)攻擊用到的標(biāo)準(zhǔn)工具就是電子郵件。攻擊者通常會(huì)偽裝成其他人,誘騙受害者給出敏感信息或執(zhí)行銀行轉(zhuǎn)賬。此類(lèi)攻擊可以是古怪的419騙局(屬于預(yù)付費(fèi)欺詐類(lèi)騙局),或者涉及假冒電子郵件地址、貌似真實(shí)的網(wǎng)站和極具說(shuō)服力用語(yǔ)的高端攻擊。后者以魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)之名廣為人知。
緩解網(wǎng)絡(luò)釣魚(yú)騙局風(fēng)險(xiǎn)最有效的辦法,是培訓(xùn)員工和自身,增強(qiáng)對(duì)此類(lèi)欺詐的辨識(shí)能力。保持警惕,總是檢查發(fā)送者電子郵件地址是否合法,郵件內(nèi)容是否古怪,請(qǐng)求是否不合常理。另外,謹(jǐn)記:天上不會(huì)掉餡餅,事出反常必有妖。
結(jié)語(yǔ)
針對(duì)網(wǎng)站的攻擊有多種形式,攻擊者既可以是業(yè)余黑客,也會(huì)是協(xié)同作戰(zhàn)的職業(yè)黑客團(tuán)伙。
最關(guān)鍵的一條建議,就是在創(chuàng)建或運(yùn)營(yíng)網(wǎng)站時(shí)不要跳過(guò)安全功能,因?yàn)樘^(guò)安全設(shè)置可能會(huì)造成嚴(yán)重后果。
雖然不可能完全消除網(wǎng)站攻擊風(fēng)險(xiǎn),但你至少可以緩解遭攻擊的可能性和攻擊后果的嚴(yán)重性。
關(guān)鍵詞:網(wǎng)站安全
來(lái)源:數(shù)世咨詢