如何保護(hù)網(wǎng)站免受黑客攻擊
自互聯(lián)網(wǎng)成為主流以來(lái),人類已經(jīng)走了很長(zhǎng)一段路。由DARPA資助的研究項(xiàng)目ARPANET開始呈指數(shù)增長(zhǎng),并改變了人類的行為。
當(dāng)WWW(萬(wàn)維網(wǎng))應(yīng)運(yùn)而生時(shí),它的意思是在互聯(lián)網(wǎng)上共享信息,從那里通過自然進(jìn)化,部分通過網(wǎng)絡(luò)經(jīng)濟(jì)學(xué)推動(dòng)創(chuàng)新,Internet&www已蛻變?yōu)槭澜绲拿}。
現(xiàn)在很難想象在互聯(lián)網(wǎng)時(shí)代之前世界如何運(yùn)轉(zhuǎn)。它觸及了人類生活的各個(gè)方面,現(xiàn)在對(duì)于日常生存至關(guān)重要。它不再只是一種共享信息的媒介,而是當(dāng)今世界上遍及網(wǎng)絡(luò)的經(jīng)濟(jì)學(xué)。
企業(yè),政府和人民都依賴于此。新的戰(zhàn)斗不會(huì)在現(xiàn)實(shí)世界中發(fā)生,而是會(huì)在網(wǎng)絡(luò)世界中進(jìn)行。因此,從本質(zhì)上講,對(duì)于任何企業(yè)或政府而言,網(wǎng)絡(luò)安全都比物理安全同等重要或更重要。
嘗試在沒有任何保護(hù)的情況下使網(wǎng)站在線,我們立即開始在網(wǎng)站上看到一些點(diǎn)擊量。并不是因?yàn)檫@個(gè)網(wǎng)站是每個(gè)人都在尋找的東西,而是因?yàn)镮nternet上有一些機(jī)器人不斷尋找可以被利用的站點(diǎn)。要了解如何保護(hù)我們的網(wǎng)站,首先需要了解攻擊是如何發(fā)生的。
攻擊如何以及為什么發(fā)生?
發(fā)生現(xiàn)場(chǎng)攻擊的原因很多。可能是出于某些經(jīng)濟(jì)利益或純粹出于惡意原因而竊取私人數(shù)據(jù),以確保真正的用戶無(wú)法訪問網(wǎng)站。
不管是什么原因,對(duì)網(wǎng)站的攻擊可能會(huì)很痛苦,并且可能會(huì)帶來(lái)災(zāi)難性的后果。攻擊者通常嘗試?yán)脩?yīng)用程序中發(fā)現(xiàn)的安全漏洞。攻擊的各個(gè)階段通常可以認(rèn)為如下。
1. 偵察攻擊:
在偵察攻擊中,攻擊者嘗試獲取網(wǎng)站信息并查看漏洞所在,入侵者查詢網(wǎng)絡(luò)中存在的IP,然后通過端口確定目標(biāo)上運(yùn)行的應(yīng)用程序和操作系統(tǒng)的類型和版本。主機(jī),然后嘗試查看在應(yīng)用程序中發(fā)現(xiàn)了哪些漏洞。
通常,這是通過自動(dòng)漫游器完成的,因此,當(dāng)網(wǎng)站立即上線時(shí),Internet上的流量和漫游器就會(huì)被大量使用,它們不斷尋找可獲取攻擊者可以使用的任何信息的站點(diǎn)。
2. 開發(fā):
一旦在站點(diǎn)中發(fā)現(xiàn)漏洞,攻擊者便會(huì)根據(jù)發(fā)現(xiàn)的漏洞對(duì)請(qǐng)求進(jìn)行武器處理,然后發(fā)起攻擊,這樣做是為了利用漏洞進(jìn)行惡意攻擊。
根據(jù)攻擊者的意圖,可以對(duì)網(wǎng)站發(fā)起攻擊以完全關(guān)閉整個(gè)網(wǎng)站,也可以從那里升級(jí)。
3. 命令與控制:
如果攻擊者選擇升級(jí),然后利用該漏洞,他可能會(huì)試圖控制內(nèi)部系統(tǒng)或特權(quán)控制,以從目標(biāo)網(wǎng)站中竊取數(shù)據(jù)或滲入某些金融犯罪。
如何確保網(wǎng)站安全?
保護(hù)站點(diǎn)的第一步之一就是將站點(diǎn)置于任何入侵防御系統(tǒng)的保護(hù)之下,這將幫助您保護(hù)站點(diǎn)免受基本偵察攻擊。
也就是為網(wǎng)站部署SSL證書,在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密,防止傳輸數(shù)據(jù)被他人竊取、窺視或篡改。
但是,這還不夠,因?yàn)殡S著技術(shù)的進(jìn)步,攻擊者也變得越來(lái)越老練,他們可以找出網(wǎng)站漏洞,即使它位于防火墻后也可以利用。
因此,最好的防御方法是不要在Web上發(fā)布易受攻擊的應(yīng)用程序,為此,需要識(shí)別并修復(fù)應(yīng)用程序中發(fā)現(xiàn)的漏洞。
可以通過自動(dòng)掃描找到漏洞。那里有多種自動(dòng)掃描功能,但是好的掃描儀應(yīng)該能夠爬網(wǎng)應(yīng)用程序,模仿用戶行為以識(shí)別不同的工作流程并識(shí)別漏洞。
也就是說(shuō),僅自動(dòng)掃描不足以確保從安全角度對(duì)應(yīng)用程序進(jìn)行全面測(cè)試。諸如CSRF和業(yè)務(wù)邏輯漏洞之類的某些漏洞需要人員介入以利用和驗(yàn)證漏洞。
不幸的是,盡管許多組織竭盡全力以確保其網(wǎng)站和Web應(yīng)用程序在網(wǎng)絡(luò)上不易受到攻擊,但現(xiàn)實(shí)開始出現(xiàn)。
企業(yè)不斷面臨不斷發(fā)展和創(chuàng)新的壓力,在這一追求中,安全性處于次要地位。很多時(shí)候,組織沒有確保其站點(diǎn)安全的安全專業(yè)知識(shí),因此他們最終使用了錯(cuò)誤的工具,或者大多數(shù)時(shí)候他們采取的安全措施仍然不足。
