互联网上的每个网站都在一定程度上容易受到安全攻击。威胁的范围从人为错误到网络犯罪团伙的复杂攻击。网络攻击者的主要动机是金钱。无论您运行的是电子商务项目还是简单的小型企业网站,都存在潜在攻击的风险。知己知彼,在当今的互联网时代,了解自己面临的威胁比以往任何时候都更加重要。每种恶意攻击都有自己的特点,而且攻击种类繁多,似乎无法防御所有方向的所有攻击。但是我们仍然可以做很多事情来保护网站并减轻恶意黑客对其构成的风险。让我们首先仔细研究Internet上10种最常见的网络攻击,看看您可以采取哪些措施来保护您的网站。10种常见的网站安全攻击1.跨站脚本(XSS)根据PreciseSecurity最近的一项研究,跨站脚本约占所有攻击的40%,是最常见的网络攻击类型。但是,虽然最常见的跨站点脚本攻击并不是特别复杂,而且大多是由业余网络犯罪分子使用他人编写的脚本进行的。跨站点脚本针对的是网站用户,而不是Web应用程序本身。恶意黑客将一段代码注入易受攻击的网站,然后由网站访问者执行。此类代码可以侵入用户帐户、激活特洛伊木马程序或修改网站内容以诱骗用户提供私人信息。设置Web应用程序防火墙(WAF)可以保护您的网站免受跨站点脚本攻击。WAF就像一个过滤器,可以识别和阻止对网站的恶意请求。当您购买虚拟主机时,虚拟主机公司通常已经为您的网站部署了一个WAF,但您仍然可以自己设置另一个。2.注入攻击在开放网络应用安全项目(OWASP)发布的十大应用安全风险研究中,注入漏洞被列为网站面临的最高风险因素。SQL注入方法是网络犯罪分子最常用的注入方法。注入攻击方式直接针对网站和服务器的数据库。执行时,攻击者注入一段代码,可以揭示隐藏的数据和用户输入,获得数据修改权限,并完全捕获应用程序。保护网站免受注入攻击主要在代码库建设中实现。例如,降低SQL注入风险的首选方法是尽可能始终使用参数化语句。更进一步,考虑使用第三方身份验证工作流来外包您的数据库保护。3.模糊测试开发人员使用模糊测试来查找软件、操作系统或网络中的编程错误和安全漏洞。但是,攻击者可以使用相同的技术来查找您的网站或服务器上的漏洞。采用fuzzing方法,攻击者首先向应用程序中输入大量随机数据(fuzzing),使应用程序崩溃。下一步是使用模糊测试工具来发现应用程序的弱点。如果目标应用程序存在漏洞,攻击者可以进一步利用它。抵御混淆攻击的最佳方法是让您的安全设置和其他应用程序保持更新,特别是如果您在发布安全补丁后不进行更新,恶意黑客就会利用这些漏洞。4.零日攻击零日攻击是混淆攻击的延伸,但不需要识别漏洞本身。此类攻击的最新示例是由谷歌发现的,它在其Windows和Chrome软件中发现了潜在的零日攻击。在两个案例中,恶意黑客能够从零日攻击中获利。在第一种情况下,访问有关即将到来的安全更新的信息允许攻击者在更新上线之前分析漏洞的位置。在第二种情况下,网络罪犯获取补丁信息并攻击未更新系统的用户。在这两种情况下,系统的安全性都会受到损害。至于后续的影响,就看黑客的技术了。保护您自己和您的网站免受零日攻击的最简单方法是在发布新版本时及时更新您的软件。5.路径(目录)遍历路径遍历攻击不像上面几种攻击方式那么普遍,但仍然是任何Web应用程序的主要威胁。路径遍历攻击以Web根文件夹为目标,访问目标文件夹之外的未经授权的文件或目录。攻击者试图将移动模式注入服务器目录以便向上爬。一次成功的路径遍历攻击可以获得一个网站的访问权限,访问配置文件、数据库以及同一台物理服务器上的其他网站和文件。您的站点免受路径遍历攻击的保护程度取决于您对输入的过滤程度。这意味着要保证用户输入的安全,并且不能从您的服务器恢复用户输入。最直观的建议是构建您的代码库,以便不会将有关用户的信息传输到文件系统API。即使这个路径行不通,也有其他的技术方案可用。6.分布式拒绝服务(DDoS)DDoS攻击本身不能让恶意黑客突破安全措施,但它可以暂时或永久地使网站离线。根据卡巴斯基实验室《2017年IT安全风险调查》的数据,一次DDoS攻击对小型企业造成的平均损失为123,000美元,对大型企业造成的损失约为230万美元。DDoS旨在用大量请求淹没目标Web服务器,使其他访问者无法访问该网站。僵尸网络通常能够使用以前受感染的计算机协调来自世界各地的大量请求。此外,DDoS攻击通常与其他攻击方法结合使用;攻击者利用DDoS攻击吸引安全系统的火力,从而暗中利用漏洞入侵系统。有多种方法可以保护网站免受DDoS攻击。首先,需要通过内容分发网络(CDN)、负载均衡器和可扩展资源来缓解峰值流量。其次,需要部署Web应用防火墙(WAF)来防止DDoS攻击,包括隐蔽注入攻击或跨站脚本等其他网络攻击方式。7.中间人攻击中间人攻击常见于用户与服务器之间传输的数据未加密的网站。作为用户,只要看网站的URL是否以HTTPS开头就可以发现这种潜在的风险,因为HTTPS中的“S”代表数据是加密的,没有“S”代表数据是加密的。未加密。攻击者使用中间人攻击来收集信息,通常是敏感信息。恶意黑客可以拦截在两方之间传输的数据,如果数据未加密,攻击者可以轻松读取个人信息、登录信息或其他敏感信息。在您的网站上安装安全套接字层(SSL)可以降低中间人攻击的风险。SSL证书对各方之间传输的信息进行加密,即使被攻击者拦截,也无法轻易破译。现代托管服务提供商通常已经在托管包中配置了SSL证书。8.蛮力攻击蛮力攻击是获取Web应用程序登录信息的一种相当直接的方法。但同时,它也是非常容易缓解的攻击方式之一,尤其是从用户端。在暴力攻击中,攻击者试图猜测用户名和密码对以登录用户帐户。当然,即使使用多台计算机,除非密码相当简单明了,否则破解也可能需要数年时间。保护登录信息的最佳方法是创建强密码,或使用双因素身份验证(2FA)。作为网站所有者,您可以通过要求用户设置强密码和2FA来降低网络犯罪分子猜测密码的风险。9.使用未知代码或第三方代码虽然不是对网站的直接攻击,但使用第三方创建的未经验证的代码也可能导致严重的安全漏洞。代码或应用程序的原始创建者可能在代码中隐藏了恶意字符串,或者无意中留下了后门。一旦您将“受感染”代码引入您的网站,您就会面临恶意字符串执行或后门利用的风险。后果可能从单纯的数据传输到网站管理权限的丧失。为避免围绕潜在数据泄露的风险,让您的开发人员分析和审核代码的有效性。此外,请确保您使用的插件(尤其是WordPress插件)保持最新状态并定期收到安全补丁:该研究表明,超过17,000个WordPress插件(约占研究时抽样数量的47%)没有两年内更新。10.网络钓鱼网络钓鱼是另一种不直接针对网站的攻击方法,但我们不能将其排除在外,因为网络钓鱼也会损害系统的完整性。根据FBI《互联网犯罪报告》的说法,造成这种情况的原因是网络钓鱼是最常见的社会工程网络犯罪。网络钓鱼攻击中使用的标准工具是电子邮件。攻击者经常伪装成其他人来诱骗受害者提供敏感信息或进行银行转账。此类攻击的范围从古怪的419诈骗(属于预付费诈骗类别)到涉及虚假电子邮件地址、似是而非的网站和非常有说服力的语言的更复杂的攻击。后者更为人所知的是鱼叉式网络钓鱼。降低网络钓鱼诈骗风险的最有效方法是培训您的员工和您自己以识别此类欺诈。时刻保持警惕,检查发件人的邮箱地址是否合法,邮件内容是否诡异,请求是否异常。另外,切记:天上不会掉馅饼,出了问题就会有恶魔。结论对网站的攻击有多种形式。攻击者可以是业余黑客,也可以是合作的专业黑客团伙。最重要的建议是在创建或运营网站时不要跳过安全功能,因为跳过安全设置会产生严重后果。虽然不可能完全消除网站攻击的风险,但您至少可以降低攻击的可能性及其后果的严重性。
