信息化觀察網(wǎng)

在某種程度上，互聯(lián)網(wǎng)上的每個網(wǎng)站都容易遭受安全攻擊。從人為失誤到網(wǎng)絡(luò)罪犯團伙發(fā)起的復(fù)雜攻擊均在威脅范圍之內(nèi)。

網(wǎng)絡(luò)攻擊者最主要的動機是求財。無論你運營的是電子商務(wù)項目還是簡單的小型商業(yè)網(wǎng)站，潛在攻擊的風險就在那里。

知己知彼百戰(zhàn)不殆，當今網(wǎng)絡(luò)時代，了解自己面對著何種威脅比以往任何時候都來得更為重要。每種惡意攻擊都有自己的特性，不同類型的攻擊那么多，似乎不太可能全方位無死角抵御全部攻擊。但我們?nèi)匀豢梢宰鲈S多工作來保護網(wǎng)站，緩解惡意黑客對網(wǎng)站造成的風險。

不妨先從仔細審視互聯(lián)網(wǎng)上最常見的10種網(wǎng)絡(luò)攻擊開始，看看能夠采取哪些辦法來保護你的網(wǎng)站。

10種常見網(wǎng)站安全攻擊

1.跨站腳本（XSS）

Precise Security近期的一項研究表明，跨站腳本攻擊大約占據(jù)了所有攻擊的40%，是最為常見的一類網(wǎng)絡(luò)攻擊。但盡管最為常見，大部分跨站腳本攻擊卻不是特別高端，多為業(yè)余網(wǎng)絡(luò)罪犯使用別人編寫的腳本發(fā)起的。

跨站腳本針對的是網(wǎng)站的用戶，而不是Web應(yīng)用本身。惡意黑客在有漏洞的網(wǎng)站里注入一段代碼，然后網(wǎng)站訪客執(zhí)行這段代碼。此類代碼可以入侵用戶賬戶，激活木馬程序，或者修改網(wǎng)站內(nèi)容，誘騙用戶給出私人信息。

設(shè)置Web應(yīng)用防火墻（WAF）可以保護網(wǎng)站不受跨站腳本攻擊危害。WAF就像個過濾器，能夠識別并阻止對網(wǎng)站的惡意請求。購買網(wǎng)站托管服務(wù)的時候，Web托管公司通常已經(jīng)為你的網(wǎng)站部署了WAF，但你自己仍然可以再設(shè)一個。

2.注入攻擊

開放Web應(yīng)用安全項目（OWASP）新出爐的十大應(yīng)用安全風險研究中，注入漏洞被列為網(wǎng)站最高風險因素。SQL注入方法是網(wǎng)絡(luò)罪犯最常用的注入手法。

注入攻擊方法直接針對網(wǎng)站和服務(wù)器的數(shù)據(jù)庫。執(zhí)行時，攻擊者注入一段能夠揭示隱藏數(shù)據(jù)和用戶輸入的代碼，獲得數(shù)據(jù)修改權(quán)限，全面俘獲應(yīng)用。

保護網(wǎng)站不受注入攻擊危害，主要落實到代碼庫構(gòu)建上。比如說，緩解SQL注入風險的首選方法就是始終盡量采用參數(shù)化語句。更進一步，可以考慮使用第三方身份驗證工作流來外包你的數(shù)據(jù)庫防護。

3.模糊測試

開發(fā)人員使用模糊測試來查找軟件、操作系統(tǒng)或網(wǎng)絡(luò)中的編程錯誤和安全漏洞。然而，攻擊者可以使用同樣的技術(shù)來尋找你網(wǎng)站或服務(wù)器上的漏洞。

采用模糊測試方法，攻擊者首先向應(yīng)用輸入大量隨機數(shù)據(jù)（模糊）讓應(yīng)用崩潰。下一步就是用模糊測試工具發(fā)現(xiàn)應(yīng)用的弱點。如果目標應(yīng)用中存在漏洞，攻擊者即可展開進一步漏洞利用。

對抗模糊攻擊的最佳方法就是保持更新安全設(shè)置和其他應(yīng)用，尤其是在安全補丁發(fā)布后不更新就會遭遇惡意黑客利用漏洞的情況下。

4.零日攻擊

零日攻擊是模糊攻擊的擴展，但不要求識別漏洞本身。此類攻擊最近的案例是谷歌發(fā)現(xiàn)的，他們在Windows和Chrome軟件中發(fā)現(xiàn)了潛在的零日攻擊。

在兩種情況下，惡意黑客能夠從零日攻擊中獲利。第一種情況是，如果能夠獲得關(guān)于即將到來的安全更新的信息，攻擊者就可以在更新上線前分析出漏洞的位置。第二種情況是，網(wǎng)絡(luò)罪犯獲取補丁信息，然后攻擊尚未更新系統(tǒng)的用戶。這兩種情況下，系統(tǒng)安全都會遭到破壞，至于后續(xù)影響程度，就取決于黑客的技術(shù)了。

保護自己和自身網(wǎng)站不受零日攻擊影響最簡便的方法，就是在新版本發(fā)布后及時更新你的軟件。

5.路徑（目錄）遍歷

路徑遍歷攻擊不像上述幾種攻擊方法那么常見，但仍然是任何Web應(yīng)用的一大威脅。

路徑遍歷攻擊針對Web root文件夾，訪問目標文件夾外部的未授權(quán)文件或目錄。攻擊者試圖將移動模式注入服務(wù)器目錄，以便向上爬升。成功的路徑遍歷攻擊能夠獲得網(wǎng)站訪問權(quán)，染指配置文件、數(shù)據(jù)庫和同一實體服務(wù)器上的其他網(wǎng)站和文件。

網(wǎng)站能否抵御路徑遍歷攻擊取決于你的輸入凈化程度。這意味著保證用戶輸入安全，并且不能從你的服務(wù)器恢復(fù)出用戶輸入內(nèi)容。最直觀的建議就是打造你的代碼庫，這樣用戶的任何信息都不會傳輸?shù)轿募到y(tǒng)API。即使這條路走不通，也有其他技術(shù)解決方案可用。

6.分布式拒絕服務(wù)（DDoS）

DDoS攻擊本身不能使惡意黑客突破安全措施，但會令網(wǎng)站暫時或永久掉線。卡巴斯基實驗室《2017年IT安全風險調(diào)查》指出，單次DDoS攻擊可令小企業(yè)平均損失12.3萬美元，大型企業(yè)的損失水平在230萬美元左右。

DDoS旨在用請求洪水壓垮目標Web服務(wù)器，讓其他訪客無法訪問網(wǎng)站。僵尸網(wǎng)絡(luò)通常能夠利用之前感染的計算機從全球各地協(xié)同發(fā)送大量請求。而且，DDoS攻擊常與其他攻擊方法搭配使用；攻擊者利用DDoS攻擊吸引安全系統(tǒng)火力，從而暗中利用漏洞入侵系統(tǒng)。

保護網(wǎng)站免遭DDoS攻擊侵害一般要從幾個方面著手。首先，需通過內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）、負載均衡器和可擴展資源緩解高峰流量。其次，需部署Web應(yīng)用防火墻（WAF），防止DDoS攻擊隱蔽注入攻擊或跨站腳本等其他網(wǎng)絡(luò)攻擊方法。

7.中間人攻擊

中間人攻擊常見于用戶與服務(wù)器間傳輸數(shù)據(jù)不加密的網(wǎng)站。作為用戶，只要看看網(wǎng)站的URL是不是以HTTPS開頭就能發(fā)現(xiàn)這一潛在風險了，因為HTTPS中的“S”指的就是數(shù)據(jù)是加密的，缺了“S”就是未加密。

攻擊者利用中間人類型的攻擊收集信息，通常是敏感信息。數(shù)據(jù)在雙方之間傳輸時可能遭到惡意黑客攔截，如果數(shù)據(jù)未加密，攻擊者就能輕易讀取個人信息、登錄信息或其他敏感信息。

在網(wǎng)站上安裝安全套接字層（SSL）就能緩解中間人攻擊風險。SSL證書加密各方間傳輸?shù)男畔ⅲ粽呒词箶r截到了也無法輕易破解。現(xiàn)代托管提供商通常已經(jīng)在托管服務(wù)包中配置了SSL證書。

8.暴力破解攻擊

暴力破解攻擊是獲取Web應(yīng)用登錄信息相當直接的一種方式。但同時也是非常容易緩解的攻擊方式之一，尤其是從用戶側(cè)加以緩解最為方便。

暴力破解攻擊中，攻擊者試圖猜解用戶名和密碼對，以便登錄用戶賬戶。當然，即使采用多臺計算機，除非密碼相當簡單且明顯，否則破解過程可能需耗費幾年時間。

保護登錄信息的最佳辦法，是創(chuàng)建強密碼，或者使用雙因子身份驗證（2FA）。作為網(wǎng)站擁有者，你可以要求用戶同時設(shè)置強密碼和2FA，以便緩解網(wǎng)絡(luò)罪犯猜出密碼的風險。

9.使用未知代碼或第三方代碼

盡管不是對網(wǎng)站的直接攻擊，使用由第三方創(chuàng)建的未經(jīng)驗證代碼，也可能導致嚴重的安全漏洞。

代碼或應(yīng)用的原始創(chuàng)建者可能會在代碼中隱藏惡意字符串，或者無意中留下后門。一旦將“受感染”的代碼引入網(wǎng)站，那你就會面臨惡意字符串執(zhí)行或后門遭利用的風險。其后果可以從單純的數(shù)據(jù)傳輸直到網(wǎng)站管理權(quán)限陷落。

想要避免圍繞潛在數(shù)據(jù)泄露的風險，請讓你的開發(fā)人員分析并審計代碼的有效性。此外，確保所用插件（尤其是WordPress插件）及時更新，并定期接收安全補?。貉芯匡@示，超過1.7萬個WordPress插件（約占研究當時采樣數(shù)量的47%）兩年內(nèi)沒有更新。

10.網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚是另一種沒有直接針對網(wǎng)站的攻擊方法，但我們不能將它排除在名單之外，因為網(wǎng)絡(luò)釣魚也會破壞你系統(tǒng)的完整性。根據(jù)FBI《互聯(lián)網(wǎng)犯罪報告》的說法，其原因在于網(wǎng)絡(luò)釣魚是最常見的社會工程網(wǎng)絡(luò)犯罪。

網(wǎng)絡(luò)釣魚攻擊用到的標準工具就是電子郵件。攻擊者通常會偽裝成其他人，誘騙受害者給出敏感信息或執(zhí)行銀行轉(zhuǎn)賬。此類攻擊可以是古怪的419騙局（屬于預(yù)付費欺詐類騙局），或者涉及假冒電子郵件地址、貌似真實的網(wǎng)站和極具說服力用語的高端攻擊。后者以魚叉式網(wǎng)絡(luò)釣魚之名廣為人知。

緩解網(wǎng)絡(luò)釣魚騙局風險最有效的辦法，是培訓員工和自身，增強對此類欺詐的辨識能力。保持警惕，總是檢查發(fā)送者電子郵件地址是否合法，郵件內(nèi)容是否古怪，請求是否不合常理。另外，謹記：天上不會掉餡餅，事出反常必有妖。

結(jié)語

針對網(wǎng)站的攻擊有多種形式，攻擊者既可以是業(yè)余黑客，也會是協(xié)同作戰(zhàn)的職業(yè)黑客團伙。

最關(guān)鍵的一條建議，就是在創(chuàng)建或運營網(wǎng)站時不要跳過安全功能，因為跳過安全設(shè)置可能會造成嚴重后果。

雖然不可能完全消除網(wǎng)站攻擊風險，但你至少可以緩解遭攻擊的可能性和攻擊后果的嚴重性。