相關研究表明,跨站腳本攻擊大約占據了所有攻擊的40%,是最為常見的壹類網絡攻擊。但盡管最為常見,大部分跨站腳本攻擊卻不是特別高端,多為業余網絡罪犯使用別人編寫的腳本發起的。
跨站腳本針對的是網站的用戶,而不是Web應用本身。惡意黑客在有漏洞的網站裏註入壹段代碼,然後網站訪客執行這段代碼。此類代碼可以入侵用戶賬戶,激活木馬程序,或者修改網站內容,誘騙用戶給出私人信息。
防禦方法:設置Web應用防火墻可以保護網站不受跨站腳本攻擊危害。WAF就像個過濾器,能夠識別並阻止對網站的惡意請求。購買網站托管服務的時候,Web托管公司通常已經為妳的網站部署了WAF,但妳自己仍然可以再設壹個。
2、註入攻擊
開放Web應用安全項目新出爐的十大應用安全風險研究中,註入漏洞被列為網站最高風險因素。SQL註入方法是網絡罪犯最常見的註入方法。
註入攻擊方法直接針對網站和服務器的數據庫。執行時,攻擊者註入壹段能夠揭示隱藏數據和用戶輸入的代碼,獲得數據修改權限,全面俘獲應用。
防禦方法:保護網站不受註入攻擊危害,主要落實到代碼庫構建上。比如說:緩解SQL註入風險的首選方法就是始終盡量采用參數化語句。更進壹步,可以考慮使用第三方身份驗證工作流來外包妳的數據庫防護。
3、模糊測試
開發人員使用模糊測試來查找軟件、操作系統或網絡中的編程錯誤和安全漏洞。然而,攻擊者可以使用同樣的技術來尋找妳網站或服務器上的漏洞。
采用模糊測試方法,攻擊者首先向應用輸入大量隨機數據讓應用崩潰。下壹步就是用模糊測試工具發現應用的弱點,如果目標應用中存在漏洞,攻擊者即可展開進壹步漏洞利用。
防禦方法:對抗模糊攻擊的最佳方法就是保持更新安全設置和其他應用,尤其是在安全補丁發布後不更新就會遭遇惡意黑客利用漏洞的情況下。
4、零日攻擊
零日攻擊是模糊攻擊的擴展,但不要求識別漏洞本身。此類攻擊最近的案例是谷歌發現的,在Windows和chrome軟件中發現了潛在的零日攻擊。
在兩種情況下,惡意黑客能夠從零日攻擊中獲利。第壹種情況是:如果能夠獲得關於即將到來的安全更新的信息,攻擊者就可以在更新上線前分析出漏洞的位置。第二種情況是:網絡罪犯獲取補丁信息,然後攻擊尚未更新系統的用戶。這兩種情況,系統安全都會遭到破壞,至於後續影響程度,就取決於黑客的技術了。
防禦方法:保護自己和自身網站不受零日攻擊影響最簡便的方法,就是在新版本發布後及時更新妳的軟件。
5、路徑(目錄)遍歷
路徑遍歷攻擊針對Web
root文件夾,訪問目標文件夾外部的未授權文件或目錄。攻擊者試圖將移動模式註入服務器目錄,以便向上爬升。成功的路徑遍歷攻擊能夠獲得網站訪問權,染指配置文件、數據庫和同壹實體服務器上的其他網站和文件。
防禦方法:網站能否抵禦路徑遍歷攻擊取決於妳的輸入凈化程度。這意味著保證用戶輸入安全,並且不能從妳的服務器恢復出用戶輸入內容。最直觀的建議就是打造妳的代碼庫,這樣用戶的任何信息都不會傳輸到文件系統API。即使這條路走不通,也有其他技術解決方案可用。