互联网上的每个网站都在一定程度上容易受到安全攻击。威胁范围从人为错误到网络犯罪团伙的复杂攻击。
网络攻击者的主要动机是寻求金钱。无论您是运行电子商务项目还是简单的小型企业网站,都存在潜在攻击的风险。
了解自己和了解敌人是一个安全的赌注。在当今的互联网时代,了解您面临的威胁类型比以往任何时候都更为重要。每种恶意攻击都有其自身的特点,而且攻击的类型如此之多,以至于似乎不可能对所有攻击进行无死角的防御。但是我们仍然可以做很多事情来保护网站并减轻恶意黑客对它们构成的风险。
首先仔细查看 Internet 上 10 种最常见的网络攻击,看看您可以采取哪些措施来保护您的网站。
10 种常见的网站安全攻击
1. 跨站脚本 (XSS)
Precise Security 最近的一项研究表明,跨站点脚本攻击约占所有攻击的 40%,是最常见的网络攻击类型。但尽管是最常见的,但大多数跨站点脚本攻击并不是特别高端,而且大多是由业余网络犯罪分子使用他人编写的脚本发起的。
跨站点脚本针对网站的用户,而不是 Web 应用程序本身。恶意黑客向易受攻击的网站注入一段代码怎样攻击网站不会被发现,网站访问者执行该代码。此类代码可以侵入用户帐户、激活木马或修改网站内容以诱骗用户泄露私人信息。
设置 Web 应用程序防火墙 (WAF) 可以保护您的网站免受跨站点脚本攻击。WAF 就像一个过滤器,可以识别和阻止对网站的恶意请求。购买网站托管服务时,网络托管公司通常已经为您的网站部署了 WAF,但您仍然可以自己设置另一个。
2. 注入攻击
在 Open Web Application Security Project (OWASP) 新发布的十大应用程序安全风险研究中,注入漏洞被列为网站的最高风险因素。SQL 注入方法是网络犯罪分子最常用的注入方法。
注入攻击方法直接针对网站和服务器的数据库。执行时,攻击者注入一段代码,可以揭示隐藏的数据和用户输入,获得数据修改权限,并完全捕获应用程序。
保护网站免受注入攻击,主要是在代码库构建上。例如,降低 SQL 注入风险的首选方法是尽可能始终使用参数化语句。更进一步,考虑使用第三方身份验证工作流程外包您的数据库保护。
3. 模糊测试
开发人员使用模糊测试来发现软件、操作系统或网络中的编程错误和安全漏洞。但是,攻击者可以使用相同的技术来查找您的网站或服务器上的漏洞。
使用模糊测试方法,攻击者首先通过向应用程序输入大量随机数据(模糊测试)来使应用程序崩溃。下一步是使用模糊测试工具来发现应用程序的弱点。如果目标应用程序存在漏洞,攻击者可以进行进一步的攻击。
对抗 fuzzing 攻击的最佳方法是更新您的安全设置和其他应用程序,尤其是在安全补丁发布后未更新并且恶意黑客可以利用该漏洞的情况下。
4. 零日攻击
零日攻击是模糊攻击的扩展,但不需要识别漏洞本身。此类攻击的最新案例是由 Google 发现的,它在 Windows 和 Chrome 软件中发现了潜在的零日漏洞。
在两种情况下,恶意黑客能够从零日攻击中获利。首先是,如果有关即将发布的安全更新的信息可用,攻击者可以在更新上线之前分析漏洞的位置。在第二种情况下,网络犯罪分子获取补丁信息,然后攻击尚未更新系统的用户。在这两种情况下,系统安全都会受到损害,而后续影响的程度取决于黑客的技能。
保护您和您的网站免受零日攻击的最简单方法是在新版本发布时保持软件更新。
5. 路径(目录)遍历
路径遍历攻击不像上述攻击方法那样普遍,但仍然是任何 Web 应用程序的主要威胁。
路径遍历攻击以 Web 根文件夹为目标,访问目标文件夹之外的未经授权的文件或目录。攻击者试图将移动模式注入服务器目录以向上爬。成功的路径遍历攻击可以访问网站,从而破坏同一物理服务器上的配置文件、数据库以及其他网站和文件。
网站抵御路径遍历攻击的能力取决于您对输入进行清理的程度。这意味着保持用户输入的安全,而不是从您的服务器恢复用户输入。最直观的建议是构建您的代码库,以便不会将用户的任何信息传输到文件系统 API。即使这条路行不通,也有其他可用的技术解决方案。
6. 分布式拒绝服务 (DDoS)
DDoS 攻击本身不能让恶意黑客破坏安全措施,但它可以暂时或永久删除网站。根据卡巴斯基实验室 2017 年 IT 安全风险调查,单次 DDoS 攻击可能导致小型企业平均损失 1 美元2. 30,000 美元,大型企业损失约 230 万美元。
DDoS 旨在通过大量请求压倒目标 Web 服务器,使其他访问者无法访问该网站。僵尸网络通常能够使用以前被感染的计算机从世界各地发送大量请求。此外,DDoS 攻击经常与其他攻击方法结合使用;攻击者利用 DDoS 攻击将火力吸引到安全系统,从而偷偷利用漏洞渗透系统。
保护网站免受 DDoS 攻击通常涉及几个方面。首先,需要通过内容交付网络 (CDN)、负载平衡器和可扩展资源来缓解峰值流量。其次,需要部署 Web 应用防火墙 (WAF),以防止 DDoS 攻击来自隐蔽注入攻击或其他网络攻击方法,例如跨站点脚本。
7. 中间人攻击
中间人攻击在用户和服务器之间传输的数据未加密的网站上很常见。作为用户,你可以通过查看网站的 URL 是否以 HTTPS 开头来发现这个潜在的风险,因为 HTTPS 中的“S”表示数据已加密,没有“S”表示未加密。
攻击者使用中间人攻击来收集信息,通常是敏感信息。数据在双方之间传输时可能被恶意黑客截获,如果数据未加密,攻击者可以轻松读取个人信息、登录信息或其他敏感信息。
可以通过在网站上安装安全套接字层 (SSL) 来降低中间人攻击的风险。SSL证书对各方之间传输的信息进行加密,即使被攻击者截获,也无法轻易破解。现代托管服务提供商通常已经在其托管包中配置了 SSL 证书。
8. 蛮力攻击
蛮力攻击是获取 Web 应用程序登录信息的一种相当直接的方法。但同时,它也是非常容易缓解的攻击方法之一,尤其是从用户端。
在蛮力攻击中,攻击者试图猜测用户名和密码对以登录用户帐户。当然,即使有多台计算机,除非密码相当简单明了,否则破解过程可能需要数年时间。
保护您的登录信息的最佳方法是创建强密码或使用双重身份验证 (2FA)。作为网站所有者,您可以要求用户同时设置强密码和 2FA,以降低网络犯罪分子猜测密码的风险。
9. 使用未知或第三方代码
虽然不是对网站的直接攻击,但使用第三方创建的未经身份验证的代码可能会导致严重的安全漏洞。
代码或应用程序的原始创建者可能会在代码中隐藏恶意字符串或不经意间留下后门。一旦将“受感染”代码引入网站,就会冒着恶意字符串执行或后门利用的风险。后果可能从单纯的数据传输到站点管理权限的下降。
为避免潜在数据泄露的风险,请您的开发人员分析和审核您的代码的有效性。此外,确保使用的插件(尤其是 WordPress 插件)是最新的,并定期收到安全补丁:研究表明,超过 1.70,000 个 WordPress 插件(约占采样时抽样数量的 47%)研究)两年没有更新。
10. 网络钓鱼
网络钓鱼是另一种不直接针对网站的攻击方法,但我们不能将其从列表中排除,因为网络钓鱼也会损害您系统的完整性。这是因为根据 FBI 的互联网犯罪报告,网络钓鱼是最常见的社会工程网络犯罪。
网络钓鱼攻击中使用的标准工具是电子邮件。攻击者经常伪装成其他人,并诱骗受害者提供敏感信息或进行银行转账。此类攻击的范围从古怪的 419 诈骗(属于预付费欺诈类别)到涉及欺骗性电子邮件地址、可信网站和极具说服力的语言的高端攻击。后者更好地称为鱼叉式网络钓鱼。
降低网络钓鱼诈骗风险的最有效方法是培训员工和您自己,让他们更加了解这种类型的欺诈行为。保持警惕怎样攻击网站不会被发现,并始终检查发件人的电子邮件地址是否合法,邮件内容是否古怪,请求是否不合理。另外,请记住:天上不会掉馅饼,出事就会有怪物。
结语
对网站的攻击有多种形式,从业余黑客到一起工作的专业黑客团伙。
最重要的一条建议是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会产生严重后果。
虽然不可能完全消除网站攻击的风险,但您至少可以减轻攻击的可能性和严重性。
关键词:
