如何應對app或者網站常見的幾種攻擊型別

同學們好，我是咕嚕簽名分發可愛多。 在今天的數字時代，隨著手機應用程式（ APP）的快速發展，應用程式的安全性問題變得尤為突出。駭客和惡意攻擊者利用各種方法試圖攻擊和利用應用程式的弱點，竊取使用者資料、破壞應用程式或者獲取非法利益。為了防止應用程式被攻擊，開發者和企業需要採取一系列綜合的防禦策略。知己知彼百戰不殆，當今網路時代，瞭解自己面對著何種威脅比以往任何時候都來得更為重要。每種惡意攻擊都有自己的特性，不同型別的攻擊那麼多，似乎不太可能全方位無死角抵禦全部攻擊。但我們仍然可以做許多工作來保護網站，緩解惡意駭客對網站造成的風險。本文將針對應用程式的安全性問題，介紹 幾種 常見的 主要 攻擊型別，並提供全方位的防禦措施。

1、Distributed Denial of Service(DDoS)攻擊

DDoS攻擊本身不能使惡意駭客突破安全措施，但會令網站暫時或長期掉線。DDoS旨在用請求洪水壓垮目標Web伺服器，讓其他訪客無法訪問網站。殭屍網路通常能夠利用之前感染的計算機從全球各地協同傳送大量請求。而且，DDoS攻擊常與其他攻擊方法搭配使用；攻擊者利用DDoS攻擊吸引安全系統火力，從而暗中利用漏洞入侵系統。

保護網站免遭DDoS攻擊侵害一般要從幾個方面著手 。部署防 DDoS裝置，如Web應用防火牆（WAF）。使用內容分發網路（CDN）分散和快取流量。利用雲服務供應商提供的DDoS防 護服務。實施速率限制，以限制每個 IP地址的連線數量。 配置網路裝置，阻止泛洪ICMP和SYN請求。

2、SQL隱碼攻擊

開放Web應用安全專案（OWASP）新出爐的十大應用安全風險研究中，注入漏洞被列為網站最高風險因素。 也 是網路罪犯最常用的注入手法。 它 直接針對網站和伺服器的資料庫。執行時，攻擊者注入一段能夠揭示隱藏資料和使用者輸入的程式碼，獲得資料修改許可權，全面俘獲應用。

保護網站不受注入攻擊危害，主要落實到程式碼庫構建上。比如說，緩解SQL隱碼攻擊風險的第一方法就是始終儘量採用引數化語句。 使用引數化查詢和預編譯語句來對資料庫查詢進行有效的輸入驗證。對所有使用者輸入進行驗證和篩選。 使用最小許可權原則來限制對資料庫的 訪問。定期更新和修補資料庫軟體以及關聯的工具庫。

3、跨站指令碼 (XSS)攻擊

Precise Security是最為常見的一類網路攻擊。但儘管最為常見，大部分跨站指令碼攻擊卻 不是特別高階，多為業餘網路罪犯使用別人編寫的指令碼發起的。 跨站指令碼針對的是網站的使用者，而不是Web應用本身。惡意駭客在有漏洞的網站裡注入一段程式碼，然後網站訪客執 行這段程式碼。此類程式碼可以入侵使用者賬戶，啟用木馬程式，或者修改網站內容，誘騙使用者給出私人資訊。

被這類攻擊後，你需要 設定Web應用防火牆（WAF） ， WAF就像個過濾器， 對所有使用者輸入進行適當的驗證和過濾， 能夠識別並阻止對網站的惡意請求。 另外使用安全的編碼方法，如實體編碼，來輸出動態內容。 同時利用內容安全策略（ CSP）來限制可執行的指令碼，啟用瀏覽器內建的XSS過濾功能。

4、 跨站請求偽造（CSRF）攻擊

攻擊者利用使用者的登入狀態傳送偽造的請求，導致對使用者資料的篡改或者其他非預期操作。

保護應用程式免受 CSRF攻擊的方法包括：使用CSRF令牌，為每個具有狀態變更能力的請求生成一個一對一的、不可預測的值。使用同源策略來確保只有可信域名可以傳送請求。對使用者輸入進行驗證和篩選。

5、無線網路安全風險

公共無線網路和移動資料網路可能被攻擊者利用，洩露使用者資料或劫持會話。

保護移動應用程式免受這些網路安全風險的方法包括：使用傳輸層安全協議（ TLS/SSL）對所有資料傳輸進行加密。配置應用程式和伺服器之間的TLS/SSL證書，以確保雙方身份可靠性。不在應用程式中儲存敏感資料，如密碼或私鑰。

當然也還有 其他安全防禦措施：

安全設計與開發；輸入驗證與過濾；資料加密；訪問控制與許可權管理；漏洞修復與補丁更新；安全編碼實踐；安全日誌與監測；安全測試與滲透測試；應急響應計劃與恢復策略；培訓與意識提升；等等，這裡我就不再一一分享了。