<strong id="6w6mk"></strong>
  • <legend id="6w6mk"></legend>
  • <bdo id="6w6mk"></bdo>
    <nav id="6w6mk"></nav>
  • 致力于打造電子商務,信息安全的一流服務商

    To focus on creating e-commerce, information security, first-class service providers

    news center

    新聞中心

    常見的網站攻擊手段及防御方法

    發布日期:2021年04月11日 瀏覽次數:

     

    在某種程度上,互聯網上的每個網站都容易遭受安全攻擊。從人為失誤到網絡罪犯團伙發起的復雜攻擊均在威脅范圍之內。為避免網絡攻擊造成的影響和損失,首先需要了解最常見的網絡安全攻擊,才能更好的部署防御堡壘,有效保護網站安全。

     

    一、跨站腳本(XSS)

     

    Precise Security近期的一項研究表明,跨站腳本攻擊大約占據了所有攻擊的40%,是最為常見的一類網絡攻擊。但盡管最為常見,大部分跨站腳本攻擊卻不是特別高端,多為業余網絡罪犯使用別人編寫的腳本發起的。

     

    跨站腳本針對的是網站的用戶,而不是Web應用本身。惡意黑客在有漏洞的網站里注入一段代碼,然后網站訪客執行這段代碼。此類代碼可以入侵用戶賬戶,激活木馬程序,或者修改網站內容,誘騙用戶給出私人信息。

     

    設置Web應用防火墻(WAF)可以保護網站不受跨站腳本攻擊危害。

     

    二、注入攻擊

     

    開放Web應用安全項目(OWASP)新出爐的十大應用安全風險研究中,注入漏洞被列為網站最高風險因素。SQL注入方法是網絡罪犯最常用的注入手法。

     

    注入攻擊方法直接針對網站和服務器的數據庫。執行時,攻擊者注入一段能夠揭示隱藏數據和用戶輸入的代碼,獲得數據修改權限,全面俘獲應用。

     

    緩解SQL注入風險的首選方法就是始終盡量采用參數化語句。更進一步,可以考慮使用身份驗證及數據庫加密防護。

     

    三、模糊測試

     

    開發人員使用模糊測試來查找軟件、操作系統或網絡中的編程錯誤和安全漏洞。然而,攻擊者可以使用同樣的技術來尋找你網站或服務器上的漏洞。

     

    采用模糊測試方法,攻擊者首先向應用輸入大量隨機數據(模糊)讓應用崩潰。下一步就是用模糊測試工具發現應用的弱點。如果目標應用中存在漏洞,攻擊者即可展開進一步漏洞利用。

     

    對抗模糊攻擊的最佳方法就是保持更新安全設置和其他應用,尤其是在安全補丁發布后不更新就會遭遇惡意黑客利用漏洞的情況下。

     

    四、分布式拒絕服務(DDoS)

     

    DDoS攻擊本身不能使惡意黑客突破安全措施,但會令網站暫時或永久掉線??ò退够鶎嶒炇摇?017年IT安全風險調查》指出,單次DDoS攻擊可令小企業平均損失12.3萬美元,大型企業的損失水平在230萬美元左右。

     

    DDoS旨在用請求洪水壓垮目標Web服務器,讓其他訪客無法訪問網站。僵尸網絡通常能夠利用之前感染的計算機從全球各地協同發送大量請求。而且,DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDoS攻擊吸引安全系統火力,從而暗中利用漏洞入侵系統。

     

    避免DDoS攻擊,首先,需通過內容分發網絡(CDN)、負載均衡器和可擴展資源緩解高峰流量。其次,需部署Web應用防火墻(WAF),防止DDoS攻擊隱蔽注入攻擊或跨站腳本等其他網絡攻擊方法。

     

    五、暴力破解攻擊

     

    暴力破解攻擊是獲取Web應用登錄信息相當直接的一種方式。但同時也是非常容易緩解的攻擊方式之一,尤其是從用戶側加以緩解最為方便。

     

    暴力破解攻擊中,攻擊者試圖猜解用戶名和密碼對,以便登錄用戶賬戶。當然,即使采用多臺計算機,除非密碼相當簡單且明顯,否則破解過程可能需耗費幾年時間。

     

    保護登錄信息的最佳辦法,是使用復雜的強密碼,關鍵登錄權限(如涉密系統、涉密郵箱)則使用獨立強密碼,避免攻擊者破解密碼的風險。

     

    六、網絡釣魚

     

    網絡釣魚是另一種沒有直接針對網站的攻擊方法,但我們不能將它排除在名單之外,因為網絡釣魚也會破壞你系統的完整性。根據FBI《互聯網犯罪報告》的說法,其原因在于網絡釣魚是最常見的社會工程網絡犯罪。

     

    網絡釣魚攻擊用到的標準工具就是電子郵件。攻擊者通常會偽裝成其他人,誘騙受害者給出敏感信息或執行銀行轉賬。此類攻擊可以是古怪的419騙局(屬于預付費欺詐類騙局),或者涉及假冒電子郵件地址、貌似真實的網站和極具說服力用語的高端攻擊。后者以魚叉式網絡釣魚之名廣為人知。

     

    避免網絡釣魚攻擊最有效的辦法:1、增強辨識此類攻擊的能力,核對電子郵件地址是否合法,郵件內容是否古怪,請求是否不合常理;2、增加對電子郵件的保護策略,郵件傳輸加密、數據儲存加密、郵件加密歸檔、郵件防泄漏(DLP)、郵箱管控等。

     

     

    面對多種形式的網站攻擊,除了增強網絡安全意識,還需要采取預防措施,加強網站后臺訪問控制、安裝應用防火墻、做好數據的備份等。山東正舟作為網絡安全服務商,為客戶提供多種解決方案,有效保障網站安全。

     

     

    Service phone
    0533-3583100
    山東省淄博市高新區柳泉北路西側先進陶瓷產業創新園B座6樓
    山東正舟信息技術有限公司版權所有 業務范圍:電子商務平臺建設、電子商務平臺運營、內網信息安全、文檔數據加密、數據文檔安全、高端網站建設、企業微信公眾平臺建設
    友情鏈接: 齊貿通、
    QQ客服 問題建議

    公告

    誠聘

    所有崗位應聘者,敬請撥打電話,預約面試時間。

    詳情請咨詢人事部

    電話:0533-3589281

    A级爱爱片欧美_a 成 人小说网站在线观看_色老99久久九九爱精品_影音先锋色av男人资源网