網路安全領域10種常見的網站安全攻擊手段,你知道幾個?

老男孩IT教育機構發表於2022-08-08

  俗話說得好:知己知彼百戰百勝!想要避免網站遭受攻擊,我們需要對安全攻擊手段進行一定的瞭解,針對性的採取防護措施,才能更好的保護網站安全。本文為大家介紹10種常見的網站安全攻擊手段,一起來了解一下吧。

  1、跨站指令碼(XSS)

  Precise Security近期的一項研究表明,跨站指令碼攻擊大約佔據了所有攻擊的40%,是最為常見的一類網路攻擊。但儘管最為常見,大部分跨站指令碼攻擊卻不是特別高階,多為業餘網路罪犯使用別人編寫的指令碼發起的。

  跨站指令碼針對的是網站的使用者,而不是Web應用本身。惡意駭客在有漏洞的網站裡注入一段程式碼,然後網站訪客執行這段程式碼。此類程式碼可以入侵使用者賬戶,啟用木馬程式,或者修改網站內容,誘騙使用者給出私人資訊。設定web應用防火牆可以保護網站不受跨站指令碼攻擊危害,它就像個過濾器,能夠識別並阻止對網站的惡意請求。

  2、注入攻擊

  注入攻擊方法直接針對網站和伺服器的資料庫。執行時,攻擊者注入一段能夠揭示隱藏資料和使用者輸入的程式碼,獲得資料修改許可權,全面俘獲應用。

  保護網站不受注入攻擊危害,主要落實到程式碼庫構建上。比如說,緩解SQL隱碼攻擊風險的首選方法就是始終儘量採用引數化語句。更進一步,可以考慮使用第三方身份驗證工作流來外包你的資料庫防護。

  3、模糊測試

  開發人員使用模糊測試來查詢軟體、作業系統或網路中的程式設計錯誤和安全漏洞。然而,攻擊者可以使用同樣的技術來尋找你的網站或伺服器上的漏洞。

  採用模糊測試方法,攻擊者首先向應用輸入大量隨機資料讓應用崩潰。下一步就是用模糊測試工具發現應用的弱點。如果目標應用中存在漏洞,攻擊者即可展開進一步漏洞利用。

  4、零日攻擊

  零日攻擊是模糊攻擊的擴充套件,但不要求識別漏洞本身。此類攻擊最近案例是谷歌發現的,他們在Windows和chrome軟體中發現了潛在的零日攻擊。

  在兩種情況下,惡意駭客能夠從零日攻擊中獲利。第一種情況是,如果能夠獲得關於即將到來的安全更新的資訊,攻擊者就可以在更新上線前分析出漏洞的位置。第二種情況是,網路罪犯獲取補丁資訊,然後攻擊尚未更新系統的使用者。這兩種情況下,系統安全都會遭到破壞,至於後續影響程度,就取決於駭客的技術了。

  5、路徑(目錄)遍歷

  路徑遍歷攻擊針對web root資料夾,訪問目標資料夾外部的未授權檔案或目錄。攻擊者試圖將移動模式注入伺服器目錄,以便向上爬升。成功的路徑遍歷攻擊能夠獲得網站訪問權,染指配置檔案、資料庫和同一實體伺服器上的其他網站和檔案。

  網站能否抵禦路徑遍歷攻擊取決於你的輸入淨化程度。這意味著保證使用者輸入安全,並且不能從你的伺服器恢復出使用者輸入內容。最直觀的建議就是打造你的程式碼庫,這樣使用者的任何資訊都不會傳輸到檔案系統API。

  6、分散式拒絕服務

  DDoS旨在用請求洪水壓垮目標web伺服器,讓其他訪客無法訪問網站。殭屍網路通常能夠利用之前感染的計算機從全球各地協同傳送大量請求。而且,DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDoS攻擊吸引安全系統火力,從而暗中利用漏洞入侵系統。

  保護網站免遭DDoS攻擊侵害一般要從幾個方面著手。首先,需透過內容分發網路、負載均衡器和可擴充套件資源緩解高峰流量。其次,需部署web應用防火牆,防止DDoS攻擊隱蔽注入攻擊或跨站指令碼等其他網路攻擊方法。

  7、中間人攻擊

  中間人攻擊常見於使用者與伺服器間傳輸資料不加密的網站。作為使用者,只要看看網站的URL是不是以HTTPS開頭就能發現這一潛在風險了,因為HTTPS中的S指的就是資料是加密的,缺了s就是未加密。

  攻擊者利用中間人型別的攻擊收集資訊,通常是敏感資訊。資料在雙方之間傳輸時可能遭到惡意駭客攔截,如果資料未加密,攻擊者就能輕易讀取個人資訊、登入資訊或其他敏感資訊。

  在網站上安裝安全套接字層就能緩解中間人攻擊風險。SSL證書加密各方間傳輸的資訊,攻擊者即使攔截到了也無法輕易破解。

  8、暴力破解攻擊

  暴力破解攻擊是獲取web應用登入資訊相當直接的一種方式。但同時也是非常容易緩解的攻擊方式之一,尤其是從使用者側加以緩解最為方便。

  暴力破解攻擊中,攻擊者試圖猜解使用者名稱和密碼對,以便登入使用者賬戶。當然,即使採用多臺計算機,除非密碼相當簡單且明顯,否則破解過程可能需耗費幾年時間。

  9、使用未知程式碼或第三方程式碼

  儘管不是對網站的直接攻擊,使用由第三方建立的未經驗證程式碼,也可能導致嚴重的安全漏洞。

  程式碼或應用的原始建立者可能會在程式碼中隱藏惡意字串,或者無意中留下後門。一旦將受感染的程式碼引入網站,那你就會面臨惡意字串執行或後門遭利用的風險。其後果可以從單純的資料傳輸直到網站管理許可權陷落。

  想要避免圍繞潛在資料洩露的風險,請讓你的開發人員分析並審計程式碼的有效性。

  10、網路釣魚

  網路釣魚是另一種沒有直接針對網站的攻擊方法,但我們不能將它排除在名單之外,因為網路釣魚也會破壞你係統的完整性。

  網路釣魚攻擊用到的標準工具就是電子郵件。攻擊者通常會偽裝成其他人,誘騙受害者給出敏感資訊或執行銀行轉賬。此類攻擊可以是古怪的419騙局,或者涉及假冒電子郵件地址、貌似真實的網站和極具說服力用語的高階攻擊。後者以魚叉式網路釣魚之名廣為人知。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2909469/,如需轉載,請註明出處,否則將追究法律責任。

相關文章