爱收集资源网

Web应用安全项目(OWASP)新出炉的十大风险研究

网络整理 2022-05-19 05:00

互联网上的每个网站都在一定程度上容易受到安全攻击。威胁范围从人为错误到网络犯罪团伙的复杂攻击。

网络攻击者的主要动机是寻求金钱。无论您是运行电子商务项目还是简单的小型企业网站,都存在潜在攻击的风险。

了解自己和敌人。在当今的互联网时代,了解您面临的威胁类型比以往任何时候都更为重要。每种恶意攻击都有其自身的特点,而且攻击的类型如此之多,以至于似乎不可能对所有攻击进行无死角的防御。但是,我们仍然可以做很多事情来保护网站并减轻恶意黑客给网站带来的风险。

您可能需要先仔细查看 Internet 上最常见的 10 种网络攻击,以了解您可以采取哪些措施来保护您的网站。

1.跨站脚本(XSS)

Precise Security 最近的一项研究表明,XSS 攻击约占所有攻击的 40%,是最常见的一种网络攻击。但尽管是最常见的,但大多数跨站点脚本攻击并不是特别高端,而且大多是由业余网络犯罪分子使用他人编写的脚本发起的。

跨站点脚本的目标是网站用户,而不是网络应用程序本身。恶意黑客向易受攻击的网站注入一段代码,网站访问者执行该代码。此类代码可以侵入用户帐户、激活木马或修改网站内容以诱骗用户泄露私人信息。

配置 Web 应用程序防火墙 (WAF) 可以保护您的网站免受跨站点脚本攻击。 WAF 就像一个过滤器,可以识别和阻止对网站的恶意请求。购买网站托管服务时,网络托管公司通常已经为您的网站部署了 WAF,但您仍然可以自己设置另一个。

2.注入攻击

在 Open Web Application Security Project (OWASP) 新发布的十大应用程序安全风险研究中,注入漏洞被列为网站的最高风险因素。 SQL注入方式是网络犯罪分子最常用的注入方式。

注入攻击方式直接针对网站和服务器的数据库。执行时,攻击者注入一段代码,可以揭示隐藏的数据和用户输入,获得数据修改权限常见的网络攻击方式有哪些,完全捕获应用程序。

保护网站免受注入攻击主要是在代码库的构建中实现的。例如,降低 SQL 注入风险的首选方法是尽可能始终使用参数化语句。更进一步,考虑将您的数据库保护外包给第三方身份验证工作流程。

3.模糊测试

开发人员使用模糊测试来查找软件、操作系统或网络中的编程错误和安全漏洞。但是,攻击者可以使用相同的技术来查找您的网站或服务器上的漏洞。

使用模糊测试方法,攻击者首先通过向应用程序输入大量随机数据(模糊测试)来使应用程序崩溃。下一步是使用模糊测试工具来发现应用程序的弱点。如果目标应用程序存在漏洞,攻击者可以进行进一步的攻击。<​​/p>

对抗 fuzzing 的最佳方法是更新您的安全设置和其他应用程序,尤其是在安全补丁发布后未更新并且恶意黑客可以利用该漏洞的情况下。

4.零日攻击

零日攻击是模糊攻击的扩展,但不需要识别漏洞本身。此类攻击的最新案例是由 Google 发现的,它在 Windows 和 Chrome 软件中发现了潜在的零日漏洞。

在两种情况下,恶意黑客可以从零日攻击中获利。首先是,如果有关即将发布的安全更新的信息可用,攻击者可以在更新上线之前分析漏洞的位置。在第二种情况下,网络犯罪分子获取补丁信息,然后攻击尚未更新系统的用户。在这两种情况下,系统安全都会受到损害,后续影响的程度取决于黑客的技能。

保护您和您的网站免受零日攻击的最简单方法是在新版本发布时更新您的软件。

5.路径(目录)遍历

路径遍历攻击不像上述攻击方法那样普遍,但仍然是任何 Web 应用程序的主要威胁。

路径遍历攻击以 Web 根文件夹为目标,访问目标文件夹之外的未经授权的文件或目录。攻击者试图将移动模式注入服务器目录以向上爬。成功的路径遍历攻击可以获得对网站的访问权限,从而破坏配置文件、数据库以及同一物理服务器上的其他网站和文件。

网站对路径遍历攻击的抵抗力取决于您对输入的净化程度。这意味着保持用户输入的安全,而不是从您的服务器恢复用户输入。最直观的建议是构建您的代码库,以便不会将用户的任何信息传输到文件系统 API。即便这条路行不通,也有其他技术方案可用。

无标度网络 可靠性 复杂网络 小世界 攻击_企业制止网络侵权可以采取的方式有_常见的网络攻击方式有哪些

6.分布式拒绝服务 (DDoS)

DDoS 攻击本身不允许恶意黑客破坏安全措施,但可以暂时或永久删除网站。根据卡巴斯基实验室 2017 年 IT 安全风险调查,单次 DDoS 攻击可能导致小型企业平均损失 1 美元2.30,000 美元,大型企业损失约 230 万美元。

DDoS 旨在通过大量请求压倒目标 Web 服务器,从而使其他访问者无法访问该站点。僵尸网络通常能够使用以前被感染的计算机从世界各地发送大量请求。此外,DDoS 攻击经常与其他攻击方法结合使用;攻击者利用 DDoS 攻击将火力吸引到安全系统,从而偷偷利用漏洞渗透系统。

保护网站免受 DDoS 攻击通常涉及几个步骤。首先,需要通过内容交付网络 (CDN)、负载平衡器和可扩展资源来缓解峰值流量。其次,需要部署Web Application Firewall (WAF),以防止DDoS攻击受到隐蔽注入攻击或跨站点脚本等其他网络攻击方法。

7.中间人攻击

中间人攻击在用户和服务器之间传输的数据未加密的网站上很常见。作为用户,你可以通过查看网站的 URL 是否以 HTTPS 开头来发现这个潜在的风险,因为 HTTPS 中的“S”表示数据已加密,没有“S”表示未加密。

攻击者使用中间人类型的攻击来收集信息,通常是敏感信息。数据在双方之间传输时可能被恶意黑客截获,如果数据未加密,攻击者可以轻松读取个人信息、登录信息或其他敏感信息。

在您的网站上安装安全套接字层 (SSL) 可以降低中间人攻击的风险。 SSL证书对各方之间传输的信息进行加密,即使被攻击者截获,也无法轻易破解。现代托管服务提供商通常已经在其托管包中配置了 SSL 证书。

8.蛮力攻击

Bruce 攻击是一种相当直接的获取 Web 应用程序登录信息的方法。但同时,它也是一种非常容易缓解的攻击方法,尤其是从用户端。

在蛮力攻击中,攻击者试图猜测用户名和密码对以登录用户帐户。当然,即使有多台计算机,除非密码相当简单明了,否则破解过程可能需要数年时间。

保护您的登录信息的最佳方法是创建强密码或使用双重身份验证 (2FA)。作为网站所有者,您可以要求用户同时设置强密码和 2FA,以降低网络犯罪分子猜测密码的风险。

9.使用未知或第三方代码

虽然不是对网站的直接攻击常见的网络攻击方式有哪些,但使用第三方创建的未经验证的代码可能会导致严重的安全漏洞。

代码或应用程序的原始创建者可能会在代码中隐藏恶意字符串或无意中留下后门。一旦将“受感染”代码引入网站,就会冒着恶意字符串执行或后门利用的风险。后果可能从单纯的数据传输到站点管理权限的下降。

为避免与潜在数据泄露有关的风险,请让您的开发人员分析和审核您的代码的有效性。此外,确保使用的插件(尤其是 WordPress 插件)是最新的,并定期收到安全补丁:研究表明,超过 1.70,000 个 WordPress 插件(约占采样时的 47%)研究)已经两年没有更新了。

10.网络钓鱼

网络钓鱼是另一种不直接针对网站的攻击方法,但我们不能将其排除在列表之外,因为网络钓鱼还会破坏您系统的完整性。这是因为根据 FBI 的互联网犯罪报告,网络钓鱼是最常见的社会工程网络犯罪。

网络钓鱼攻击中使用的标准工具是电子邮件。攻击者经常伪装成其他人,并诱骗受害者提供敏感信息或进行银行转账。此类攻击的范围从属于预付费欺诈类别的古怪 419 骗局,到涉及欺骗性电子邮件地址、可信网站和极具说服力的语言的高端攻击。后者更广为人知的是鱼叉式网络钓鱼。

降低网络钓鱼诈骗风险的最有效方法是培训员工和您自己,让他们更加了解此类欺诈行为。保持警惕,并始终检查发件人的电子邮件地址是否合法,邮件内容是否古怪,请求是否不合理。另外,请记住:天上不会掉馅饼,出事就会有怪物。

结论

针对网站的攻击形式多种多样,攻击者可以是业余黑客,也可以是专业的黑客团伙。

最重要的建议之一是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会产生严重后果。

虽然不可能完全消除网站攻击的风险,但您至少可以降低攻击的可能性和严重性。

网站安全 信息安全 网络钓鱼