Internet 上的每个网站都在某种程度上容易受到安全攻击。威胁范围从人为错误到协同网络犯罪分子的复杂攻击。 根据Verizon的数据泄露调查报告,网络攻击者的主要动机是财务。无论您运行的是电子商务项目还是简单的小型企业网站,都存在潜在攻击的风险。 知道你要面对的是什么比以往任何时候都重要。您网站上的每一次恶意攻击都有其具体情况,并且随着一系列不同类型的攻击不断发生,似乎不可能保护自己免受所有攻击。尽管如此,您仍然可以做很多事情来保护您的网站免受这些攻击,并降低恶意黑客以您的网站为目标的风险。 让我们仔细看看 Internet 上发生的 10 种最常见的网络攻击,以及如何保护您的网站免受攻击。 10 种最常见的网站安全攻击1. 跨站脚本(XSS)Precise Security最近的一项研究发现,XSS 攻击是最常见的网络攻击,约占所有攻击的 40%。尽管它是最常见的一种,但大多数这些攻击都不是很复杂,并且是由业余网络犯罪分子使用其他人创建的脚本执行的。 跨站点脚本的目标是站点的用户,而不是 Web 应用程序本身。恶意黑客将一段代码插入易受攻击的网站,然后由该网站的访问者执行。该代码可以危害用户的帐户、激活特洛伊木马或修改网站内容以诱使用户提供私人信息。 您可以通过设置 Web 应用程序防火墙 (WAF) 来保护您的网站免受 XSS 攻击。WAF 充当过滤器,可识别并阻止对您网站的任何恶意请求。通常,当您购买他们的服务时,网络托管公司已经拥有 WAF,但您也可以自行设置。 2. 注入攻击开放 Web 应用程序安全项目 (OWASP) 在其最新的十大研究中将注入缺陷列为网站的最高风险因素。SQL 注入方法是此类网络犯罪分子最常用的做法。 注入攻击方法直接针对网站和服务器的数据库。执行时,攻击者会插入一段代码,显示隐藏的数据和用户输入,启用数据修改并通常危及应用程序。 保护您的网站免受基于注入的攻击主要取决于您构建代码库的程度。例如,减轻 SQL 注入风险的第一种方法是在可用的情况下始终使用参数化语句,以及其他方法。此外,您可以考虑使用第三方身份验证工作流来外包您的数据库保护。 3. 模糊测试(或模糊测试)开发人员使用模糊测试来发现软件、操作系统或网络中的编码错误和安全漏洞。但是,攻击者可以使用相同的技术来查找您的站点或服务器中的漏洞。 它的工作原理是最初将大量随机数据(模糊)输入应用程序以使其崩溃。下一步是使用模糊器软件工具来识别弱点。如果目标的安全性存在任何漏洞,攻击者可以进一步利用它。 对抗模糊攻击的最佳方法是保持您的安全和其他应用程序更新。对于随更新发布的任何安全补丁尤其如此,如果您尚未进行更新,则犯罪者可以利用这些补丁。 4. 零日攻击零日攻击是模糊攻击的延伸,但它本身不需要识别弱点。谷歌的研究发现了此类攻击的最新案例,他们发现了 Windows 和 Chrome 软件中的潜在零日漏洞利用。 恶意黑客如何从零日攻击中受益有两种情况。第一种情况是,如果攻击者可以获得有关即将发布的安全更新的信息,他们就可以在更新上线之前了解漏洞在哪里。在第二种情况下,网络犯罪分子获取补丁信息并针对尚未更新其系统的用户。在这两种情况下,您的安全都会受到损害,随后的损害取决于肇事者的技能。 保护您自己和您的站点免受零日攻击的最简单方法是在发布者提示新版本后立即更新您的软件。 5. 路径(或目录)遍历路径遍历攻击不像以前的黑客方法那么常见,但仍然对任何 Web 应用程序构成相当大的威胁。 路径遍历攻击以 Web 根文件夹为目标,以访问目标文件夹之外的未经授权的文件或目录。攻击者试图在服务器目录中注入移动模式以在层次结构中向上移动。成功的路径遍历可能会危及同一物理服务器上的站点访问、配置文件、数据库以及其他网站和文件。 保护您的站点免受路径遍历攻击归结为您的输入清理。这意味着确保用户的输入安全且不可从您的服务器恢复。这里最直接的建议是构建您的代码库,以便来自用户的任何信息都不会传递到文件系统 API。但是,如果这是不可能的,还有其他技术解决方案。 6. 分布式拒绝服务 (DDoS)单独的 DDoS 攻击不会让恶意黑客破坏安全,但会暂时或永久地使站点脱机。卡巴斯基实验室 2017 年的 IT 安全风险调查得出的结论是,一次 DDoS 攻击平均使小型企业损失 12.3 万美元,大型企业损失 230 万美元。 DDoS 攻击旨在通过请求淹没目标的 Web 服务器,使其他访问者无法访问该站点。僵尸网络通常会创建大量请求,这些请求分布在先前受感染的计算机中。此外,DDoS 攻击通常与其他方法一起使用;前者的目标是在利用漏洞的同时分散安全系统的注意力。 保护您的站点免受 DDoS 攻击通常是多方面的。首先,您需要使用内容交付网络 (CDN)、负载均衡器和可扩展资源来缓解峰值流量。其次,您还需要部署 Web 应用程序防火墙,以防 DDoS 攻击隐藏另一种网络攻击方法,例如注入或 XSS。 7. 中间人攻击该人在这方面的中间人攻击是因为它从用户到服务器传播还没有加密其数据的网站中常见的。作为用户,您可以通过检查网站的 URL 是否以HTTPS开头来识别潜在风险,其中“S”表示数据正在加密。 攻击者使用中间人类型的攻击来收集(通常是敏感的)信息。当数据在两方之间传输时,肇事者会拦截数据。如果数据未加密,攻击者可以轻松读取在 Internet 上两个位置之间传输的个人信息、登录信息或其他敏感信息。 减轻中间人攻击的一种直接方法是在您的站点上安装安全套接字层 (SSL) 证书。该证书加密了各方之间传输的所有信息,因此攻击者不会轻易理解它。通常,大多数现代托管服务提供商已经在其托管包中提供了 SSL 证书。 8. 蛮力攻击蛮力攻击是一种非常简单的访问 Web 应用程序登录信息的方法。这也是最容易缓解的一种,尤其是从用户方面。 攻击者试图猜测用户名和密码组合来访问用户的帐户。当然,即使使用多台计算机,这也可能需要数年时间,除非密码非常简单明了。 保护登录信息的最佳方法是创建强密码或使用双因素身份验证(2FA)。作为网站所有者,您可以要求您的用户同时进行设置,以降低网络犯罪分子猜测密码的风险。 9. 使用未知或第三方代码虽然没有在您的网站一个直线上升的攻击,利用联合国志愿人员ērified代码由第三人产生可导致严重的安全漏洞。 一段代码或应用程序的原始创建者在代码中隐藏了恶意字符串或在不知不觉中留下了后门。然后,您将“受感染”的代码合并到您的站点中,然后它就会被执行或后门被利用。影响范围可以从简单的数据传输到获得对您网站的管理访问权限。 为避免潜在违规带来的风险,请始终让您的开发人员研究和审核代码的有效性。此外,请确保您使用的插件(尤其是 WordPress)是最新的并定期收到安全补丁——研究表明,超过 17,000 个 WordPress 插件(或大约 47% 在研究时的 WordPress 插件)没有被两年后更新。 10. 网络钓鱼网络钓鱼是另一种不直接针对网站的攻击方法,但我们也不能将其排除在列表之外,因为它仍然可能危及您系统的完整性。原因是,根据FBI 的互联网犯罪报告,网络钓鱼是最常见的社会工程网络犯罪。 网络钓鱼尝试中使用的标准工具是电子邮件。袭击者通常将自己伪装成不是他们的人,并试图让受害者分享敏感信息或进行银行转账。这些类型的攻击可能是古怪的 419 骗局(属于预付费欺诈类别的一部分)或更复杂的涉及欺骗性电子邮件地址、看似真实的网站和有说服力的语言。后者更广为人知的是鱼叉式网络钓鱼。 降低网络钓鱼诈骗风险的最有效方法是培训您的员工和您自己来识别此类尝试。始终检查发件人的电子邮件地址是否合法,邮件是否奇怪,请求是否奇怪。而且,如果它好得令人难以置信,那可能就是这样。 综上所述对您网站的攻击可以有多种形式,其背后的攻击者可以是业余爱好者或协调的专业人士。 在创建或运行您的网站时,关键是不要跳过安全功能,因为它可能会产生可怕的后果。 虽然不可能完全消除网站攻击的风险,但您至少可以降低结果的可能性和严重性。
|