你是不是經(jīng)常有這樣的疑惑:“網(wǎng)站剛才還好好的,怎么突然登不上去了?”“為什么我每天訪問(wèn)的公司網(wǎng)站,一夜之間就被亂碼取代了?”每當(dāng)出現(xiàn)這些情況,網(wǎng)速和網(wǎng)站技術(shù)維護(hù)人員都成了默默的“背鍋俠”。
你是不是經(jīng)常有這樣的疑惑:“網(wǎng)站剛才還好好的,怎么突然登不上去了?”“為什么我每天訪問(wèn)的公司網(wǎng)站,一夜之間就被亂碼取代了?”每當(dāng)出現(xiàn)這些情況,網(wǎng)速和網(wǎng)站技術(shù)維護(hù)人員都成了默默的“背鍋俠”。
其實(shí),這也不能全怪他們,真正的幕后黑手,可能是網(wǎng)絡(luò)黑客。
我們都知道,企業(yè)網(wǎng)站目前是企業(yè)信息系統(tǒng)建設(shè)的重要組成部分,然而企業(yè)網(wǎng)站除了能帶來(lái)更好的推廣宣傳效果,也伴隨著許多安全風(fēng)險(xiǎn),如黑客攻擊、網(wǎng)頁(yè)纂改等問(wèn)題,會(huì)嚴(yán)重影響企業(yè)的業(yè)務(wù)開展和企業(yè)形象,造成極壞的社會(huì)影響及聲譽(yù)影響。
一、網(wǎng)站的安全威脅
目前較為常見的Web應(yīng)用安全威脅主要有以下幾種:
1、DDOS攻擊
DDoS分布式拒絕服務(wù)是最常見的網(wǎng)絡(luò)攻擊之一。攻擊者控制大量主機(jī)對(duì)互聯(lián)網(wǎng)上的目標(biāo)進(jìn)行攻擊,占用服務(wù)器資源,導(dǎo)致業(yè)務(wù)中斷,造成客戶直接經(jīng)濟(jì)損失同時(shí)也對(duì)企業(yè)的聲譽(yù)造成不同程度的影響。而多數(shù)客戶經(jīng)驗(yàn)不足,對(duì)DDoS攻擊威脅無(wú)計(jì)可施。
2、Web漏洞利用
由于網(wǎng)站應(yīng)用開發(fā)的不規(guī)范性及開發(fā)者水平所限,任何網(wǎng)站應(yīng)用都會(huì)存在漏洞。攻擊者利用Web應(yīng)用存在的漏洞缺陷,避開網(wǎng)站系統(tǒng)的身份驗(yàn)證,并將惡意程序傳遞給執(zhí)行服務(wù)終端,使服務(wù)器執(zhí)行錯(cuò)誤命令,或誘導(dǎo)用戶對(duì)上傳的文件進(jìn)行瀏覽與下載,導(dǎo)致Web網(wǎng)頁(yè)篡改、掛馬,甚至網(wǎng)站后臺(tái)服務(wù)及數(shù)據(jù)庫(kù)被控制,造成敏感數(shù)據(jù)泄露或托庫(kù)。
3、SQL注入
SQL注入漏洞攻擊是OWASP TOP10中發(fā)生頻率非常高的漏洞利用攻擊,該攻擊主要是指攻擊者在 Web表單遞交查詢字符串或者頁(yè)面請(qǐng)求查詢字符串或者輸入域名查詢字符串中插入SQL命令,以欺騙應(yīng)用服務(wù)器的方式進(jìn)行惡意SQL命令執(zhí)行,給網(wǎng)站應(yīng)用造成敏感數(shù)據(jù)泄露,數(shù)據(jù)庫(kù)數(shù)據(jù)丟失或托庫(kù)等嚴(yán)重影響。
4、XSS-跨站腳本攻擊
XSS攻擊也是OWASP TOP10中發(fā)生頻率非常高的一種攻擊行為。通常情況下,攻擊者利用web應(yīng)用存在的XSS漏洞將惡意代碼置入到其他用戶所使用的頁(yè)面中,使用戶在進(jìn)行網(wǎng)頁(yè)瀏覽時(shí)會(huì)點(diǎn)擊到插入其中的連接,從而為攻擊者提供信息盜取契機(jī)。
5、CSRF-跨站請(qǐng)求偽造攻擊
CSRF攻擊又被稱之為“one-click attack”或者是“session riding”。攻擊者通過(guò)偽裝收信人用戶請(qǐng)求對(duì)網(wǎng)站進(jìn)行惡意利用,使用戶在已登錄頁(yè)面中執(zhí)行非自主意愿的操作。相對(duì)于跨站腳本攻擊而言,其危險(xiǎn)性更強(qiáng),也更難防范。
6網(wǎng)頁(yè)篡改與掛馬
Web網(wǎng)頁(yè)篡改掛馬攻擊通常是利用網(wǎng)站存在的漏洞,對(duì)網(wǎng)站應(yīng)用后臺(tái)進(jìn)行提權(quán)操作,然后對(duì)Web頁(yè)面內(nèi)容進(jìn)行篡改或植入木馬暗鏈。一旦木馬程序運(yùn)行,將可能完全控制網(wǎng)站后臺(tái)服務(wù),從而獲得敏感數(shù)據(jù),甚至對(duì)網(wǎng)站進(jìn)行破壞,或利用已被控制的網(wǎng)站應(yīng)用為跳板對(duì)其它網(wǎng)站,業(yè)務(wù)系統(tǒng)或服務(wù)器進(jìn)行攻擊。
二、網(wǎng)站安全威脅的防護(hù)措施
那么,該如何解決企業(yè)網(wǎng)站安全防護(hù)問(wèn)題呢?采取什么措施才適合網(wǎng)站安全防護(hù)建設(shè)需要呢?
1、事前分析預(yù)防階段
這個(gè)階段主要是針對(duì)待上線的網(wǎng)站W(wǎng)eb應(yīng)用,進(jìn)行全面的安全評(píng)估,參照OWASP TOP10對(duì)網(wǎng)站W(wǎng)eb應(yīng)用進(jìn)行全面檢測(cè),可以使企業(yè)管理人員充分了解Web應(yīng)用存在的安全隱患,建立安全可靠的Web應(yīng)用服務(wù),改善并提升網(wǎng)站應(yīng)用對(duì)抗各類Web應(yīng)用攻擊的能力。安全評(píng)估的內(nèi)容主要包括漏洞掃描、配置核查、滲透測(cè)試、源代碼審計(jì)等。
2、事中監(jiān)測(cè)防護(hù)階段
這個(gè)階段主要是采取有效的安全防護(hù)措施,針對(duì)網(wǎng)站的各類攻擊行為及異常訪問(wèn)行為進(jìn)行實(shí)時(shí)的監(jiān)測(cè)和防護(hù),對(duì)于發(fā)現(xiàn)攻擊實(shí)時(shí)阻斷,并通過(guò)告警通知企業(yè)安全管理員,以便于快速處理安全事件。這一階段的防護(hù)措施可以分為網(wǎng)絡(luò)層安全防護(hù)和應(yīng)用層安全防護(hù)兩個(gè)部分。
3、事后優(yōu)化階段
在網(wǎng)站安全防護(hù)的事后階段,通過(guò)安全設(shè)備日志及告警信息,對(duì)攻擊源進(jìn)行定位,分析攻擊路徑,找出引發(fā)攻擊的網(wǎng)站脆弱點(diǎn),有針對(duì)性的對(duì)網(wǎng)站安全防護(hù)策略進(jìn)行優(yōu)化,改善安全防護(hù)措施,加固企業(yè)網(wǎng)站系統(tǒng)。
最后,針對(duì)網(wǎng)站安全防護(hù)措施的優(yōu)化和完善提供以下建議:
① 企業(yè)應(yīng)定期對(duì)網(wǎng)站進(jìn)行全面的安全評(píng)估,并且針對(duì)安全評(píng)估結(jié)果對(duì)網(wǎng)站實(shí)施安全加固;
② 建立和完善可落地的網(wǎng)站安全管理制度,規(guī)范企業(yè)網(wǎng)站的日常運(yùn)維管理和操作。
③ 建立和完善有效的應(yīng)急響應(yīng)預(yù)案和流程,并定期進(jìn)行應(yīng)急演練,做到當(dāng)發(fā)生異常狀況時(shí)能夠及時(shí)有效的進(jìn)行處置和恢復(fù),避免網(wǎng)站業(yè)務(wù)中斷給企業(yè)帶來(lái)?yè)p失。
④ 定期對(duì)相關(guān)管理人員和技術(shù)人員進(jìn)行安全培訓(xùn),提高安全技術(shù)能力和實(shí)際操作能力。
免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請(qǐng)發(fā)送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。