当今的企业依靠互联网作为运营的关键促进者。这就是他们销售产品的方式。这就是他们推销自己的方式。这甚至是他们与客户沟通和提供售后服务的方式。但这也是他们最大的风险来源之一。
原因很简单。互联网是一个危险的地方,到处都是试图利用易受攻击的网站和平台谋取金钱利益的不良行为者。而最近的大流行只是扩大了威胁的规模。结果是企业——尤其是小型企业——必须立即采取措施保护其面向互联网的业务。这意味着保护他们的网站、应用程序和数据。
为此,企业必须了解他们可能面临的威胁类型以及他们如何保护自己。为了提供帮助,以下是三种最常见的 Web 应用程序攻击类型以及如何击败它们。
注入攻击
根据IBM的 X-Force网络安全部门的说法,注入攻击是迄今为止对面向 Web 的应用程序和网络最常见的攻击类型。原因是多个平台和技术容易受到该攻击向量的影响。但其中最危险的是SQL 注入攻击。
在 SQL 注入攻击中,攻击者试图通过更改 Web 应用程序发送的普通查询来获得对SQL 数据库的特权访问。例如,他们可能会尝试劫持 Web 表单输入,以在其位置发送修改后的数据库调用。如果应用程序不知道拒绝这种格式错误的输入,攻击就会成功,攻击者可以窃取他们想要的任何数据。这就是近年来发生的一些最大的数据盗窃事件。
但是,可以防御 SQL 注入攻击。有四种主要方法可以实现它:
- 使用准备好的语句和变量绑定——一种指定查询意图的方法,可以拒绝意外的数据输入
- 使用允许列表进行输入验证– 检查 SQL 命令输入并拒绝任何意外字符或数据的方法
- 存储过程和查询– 一种将所有允许的数据库过程和查询存储在数据库本身内并拒绝任何外部命令修改的方法
- 用户输入转义– 一种利用特定于数据库的字符转义来验证用户输入同时拒绝没有正确转义序列的输入的方法
分布式拒绝服务攻击
另一种常见的 Web 应用程序攻击称为分布式拒绝服务( DDoS ) 攻击。这是黑客用来禁用 Web 应用程序的一种方法,方法是向它们发出大量并发请求,直到它们不再有资源来响应。此类攻击最引人注目的实例发生在 2016 年,当时攻击者设法禁用了全球 DNS 提供商 Dyn——有效地阻止了数百万用户访问互联网本身。
DDoS 攻击的问题在于,它们是在没有任何 Web 应用程序拥有无限资源的假设下运行的。这是任何企业(无论规模多大)都无法补救的情况。因此,对它们的唯一真正防御就是缓解。有两种主要的处理方法。
首先是部署一个 Web 应用防火墙 (WAF),它可以检测恶意流量并在其到达目标之前将其拒绝。但是,由于带宽限制,这不一定会保持 Web 应用程序运行。解决该问题的最佳方法是使用内容交付网络 (CDN) 作为扩展容量并消除应用程序的主服务器作为可能的单点故障的一种方式。
跨站脚本攻击
企业应防范的第三种常见 Web 应用程序攻击称为跨站点脚本 (XSS) 攻击。当黑客在 Web 应用程序中识别出易受攻击的代码时,就会发生这种情况,这些代码允许他们更改应用程序的代码本身,或者用恶意代码代替它。并且 XSS 攻击很难被发现,通常为时已晚。
最臭名昭著的 XSS 攻击示例之一发生在 2018 年底,当时英国航空公司发现其在线预订应用程序发生了一些未经授权的更改。攻击者只用了 22 行代码,就成功窃取了涉及约 380,000笔交易的身份和信用卡详细信息。显然,当变化变得明显时——阻止这种破坏已经太晚了。
但是企业可以使用多种策略来保护其 Web 应用程序免受 XSS 攻击。首先是尽量减少用户通过表单和字段输入数据的能力。如果表单提交不是绝对必要的,那么它不应该存在。并且所有剩余的表单都应该使用输入验证和输出编码,以确保没有人可以通过输入恶意代码来利用它们。最后,所有现代 Web 应用程序都应包含正确定义的内容安全策略,以定义哪些类型的代码可以安全运行,哪些不安全。
减少漏洞至关重要
最终,企业将继续与黑客和其他在线恶意行为者进行猫捉老鼠的游戏。但是,通过消除他们最常见的攻击途径,就有可能比坏人领先一步。当然,这里详述的三种攻击类型并不是业务 Web 应用程序必须面对的唯一威胁。但它们如此普遍是有原因的。这是因为它们易于执行且非常有效。毕竟,有时,让自己成为最不吸引人的目标是保持安全的最佳方式。
如若转载,请注明出处:https://www.hanjifoods.com/20193.html