2021年如何預(yù)防網(wǎng)站被攻擊

1、資料來源：來自本人網(wǎng)絡(luò)整理！祝您工作順利！2021年如何預(yù)防網(wǎng)站被攻擊 許多新網(wǎng)站是很簡單患病攻擊的，想防備網(wǎng)站攻擊，當(dāng)然得先知道他是從哪里對(duì)我們進(jìn)展攻擊的!下面是我整理的一些關(guān)于如何預(yù)防網(wǎng)站被攻擊的相關(guān)資料，供你參考。 預(yù)防網(wǎng)站被攻擊1、未對(duì)網(wǎng)站地址的訪問進(jìn)展限制 問題：有些網(wǎng)頁的訪問應(yīng)當(dāng)是受限于一小局部特權(quán)用戶，比方管理員。然而這些網(wǎng)頁通常并不具備真正的愛護(hù)系統(tǒng)，黑客們可以通過猜想的方式找出這些地址。 williams說，假如某個(gè)網(wǎng)站地址對(duì)應(yīng)的id號(hào)是123456，那么黑客會(huì)猜測123457對(duì)應(yīng)的地址是什么呢? 針對(duì)這種破綻的攻擊被稱作強(qiáng)迫掃瞄，通過猜想的方式去猜四周的鏈接并找出未經(jīng)愛護(hù)的

2、網(wǎng)頁。 真實(shí)案例：macworld conference大會(huì)網(wǎng)站上有一個(gè)破綻，用戶可以免費(fèi)獲得價(jià)值1700美元的高級(jí)訪問權(quán)限和史蒂夫喬布斯的演講內(nèi)容。這個(gè)破綻是在客戶端而非效勞器上評(píng)定用戶的訪問權(quán)限的，這樣人們就可以通過掃瞄器中的java腳本獲得免費(fèi)權(quán)限。 如何愛護(hù)用戶：不要以為用戶們不知道隱藏的地址。全部的網(wǎng)站地址和業(yè)務(wù)功能都應(yīng)受到一個(gè)有效訪問掌握機(jī)制的愛護(hù)，這個(gè)機(jī)制可以檢驗(yàn)用戶的身份和權(quán)限。 預(yù)防網(wǎng)站被攻擊2、擔(dān)心全的通信 問題：與第8種破綻類似，這種破綻出現(xiàn)的緣由是因?yàn)樵谛枰獙?duì)包含敏感信息的通信進(jìn)展愛護(hù)時(shí)沒有將網(wǎng)絡(luò)流通的數(shù)據(jù)進(jìn)展加密。攻擊者們可以獲得包括證書和敏感信息的傳送在內(nèi)的各種不受

3、愛護(hù)的會(huì)話內(nèi)容。因此，pci標(biāo)準(zhǔn)要求對(duì)網(wǎng)絡(luò)上傳輸?shù)男抛u(yù)卡信息進(jìn)展加密。 真實(shí)案例：這次又是一個(gè)關(guān)于tjx的例子。華爾街日?qǐng)?bào)的報(bào)道稱，調(diào)查員們認(rèn)為，黑客利用了一種類似于望遠(yuǎn)鏡的天線和筆記本電腦來竊取通過無線方式傳輸?shù)挠脩魯?shù)據(jù)。 有報(bào)道稱：眾多零售商的無線網(wǎng)絡(luò)平安性還比不上很多人自己的局域網(wǎng)。tjx用法的是wep加密系統(tǒng)而不是平安性更好的wpa加密系統(tǒng)。 如何愛護(hù)用戶：在全部經(jīng)過認(rèn)證的連接上利用ssl，或者在敏感信息傳輸過程中用法ssl。ssl或者類似的加密協(xié)議應(yīng)當(dāng)加載在客戶端、與在線系統(tǒng)有關(guān)的合作伙伴、員工和管理員賬戶上。利用傳輸層平安或者協(xié)議級(jí)加密系統(tǒng)來愛護(hù)根底構(gòu)造各局部之間的通信，比方網(wǎng)絡(luò)效

4、勞器與數(shù)據(jù)庫系統(tǒng)之間的通信。 預(yù)防網(wǎng)站被攻擊3、惡意文件執(zhí)行 問題：黑客們可以遠(yuǎn)程執(zhí)行代碼、遠(yuǎn)程安裝rootkits工具或者完全攻破一個(gè)系統(tǒng)。任何一款承受來自用戶的文件名或者文件的網(wǎng)絡(luò)應(yīng)用軟件都是存在破綻的。破綻可能是用php語言寫的，php是網(wǎng)絡(luò)開發(fā)過程中應(yīng)用最普遍的一種腳本語言。 真實(shí)案例：一位青少年程序員在2021年發(fā)覺了guess 網(wǎng)站是存在破綻的，攻擊者可以從guess數(shù)據(jù)庫中竊取20萬個(gè)客戶的資料，包括用戶名、信譽(yù)卡號(hào)和有效期等。guess公司在次年受到聯(lián)邦貿(mào)易委員會(huì)調(diào)查之后，同意晉級(jí)其平安系統(tǒng)。 如何愛護(hù)用戶：不要將用戶供應(yīng)的任何文件寫入基于效勞器的資源，比方鏡像和腳本等。設(shè)定防

5、火墻規(guī)章，防止外部網(wǎng)站與內(nèi)部系統(tǒng)之間建立任何新的連接。 預(yù)防網(wǎng)站被攻擊4、擔(dān)心全的挺直對(duì)象參照物 問題：攻擊者可以利用挺直對(duì)象參照物而越權(quán)存取其他對(duì)象。當(dāng)網(wǎng)站地址或者其他參數(shù)包含了文件、名目、數(shù)據(jù)庫記錄或者關(guān)鍵字等參照物對(duì)象時(shí)就可能發(fā)生這種攻擊。 銀行網(wǎng)站通常用法用戶的賬號(hào)作為主關(guān)鍵字，這樣就可能在網(wǎng)絡(luò)接口中暴露用戶的賬號(hào)。 owasp說：數(shù)據(jù)庫關(guān)鍵字的參照物通常會(huì)泄密。攻擊者可以通過猜測或者搜尋另一個(gè)有效關(guān)鍵字的方式攻擊這些參數(shù)。通常，它們都是連續(xù)的。 真實(shí)案例：澳大利亞的一個(gè)稅務(wù)網(wǎng)站在2000年被一位用戶攻破。那位用戶只是在網(wǎng)站地址中更改了稅務(wù)id賬號(hào)就獲得了1.7萬家企業(yè)的具體資料。黑客

6、以電子郵件的方式通知了那1.7萬家企業(yè)，告知它們的數(shù)據(jù)已經(jīng)被破解了。 如何愛護(hù)用戶：利用索引，通過間接參照映射或者另一種間接法來避開發(fā)生挺直對(duì)象參照物泄密。假如你不能避開用法挺直參照，那么在用法它們之前必需對(duì)網(wǎng)站訪問者進(jìn)展受權(quán)。 預(yù)防網(wǎng)站被攻擊5、跨站指令偽造 問題：這種攻擊簡潔但破壞性強(qiáng)，它可以掌握受害人的掃瞄器然后發(fā)送惡意指令到網(wǎng)絡(luò)應(yīng)用軟件上。這種網(wǎng)站是很簡單被攻擊的，局部緣由是因?yàn)樗鼈兪且罁?jù)會(huì)話cookie或者自動(dòng)記憶功能來受權(quán)指令的。各銀行就是潛在的被攻擊目的。 williams說：網(wǎng)絡(luò)上99%的應(yīng)用軟件都是易被跨站指令偽造破綻感染的?，F(xiàn)實(shí)中是否發(fā)生過某人因此被攻擊而損失錢財(cái)?shù)氖履?或

7、許連各銀行都不知道。對(duì)于銀行來說，整個(gè)攻擊看起來就像是用戶登錄到系統(tǒng)中進(jìn)展了一次合法的交易。 真實(shí)案例：一位名叫samy的黑客在2021年末利用一個(gè)蠕蟲在myspace網(wǎng)站上獲得了100萬個(gè)好友資料，在成千上萬個(gè)myspace網(wǎng)頁上自動(dòng)出現(xiàn)了samy是我的英雄的文字。攻擊本身或許是無害的，但是據(jù)說這個(gè)案例證明了將跨站腳本與偽造跨站指令結(jié)合在一起所具備的威力。另一個(gè)案例發(fā)生在一年前，google網(wǎng)站上出現(xiàn)了一個(gè)破綻，外部網(wǎng)站可以利用那個(gè)破綻轉(zhuǎn)變用戶的語言偏好設(shè)置。 如何愛護(hù)用戶：不要依靠掃瞄器自動(dòng)提交的憑證或者標(biāo)識(shí)。owasp說：解決這個(gè)問題的唯一方法是用法一種掃瞄器不會(huì)記住的自定義標(biāo)識(shí)。 預(yù)防

8、網(wǎng)站被攻擊6、信息泄露和錯(cuò)誤處理不當(dāng) 問題：各種應(yīng)用軟件產(chǎn)生并顯示給用戶看的錯(cuò)誤信息對(duì)于黑客們來說也是有用的，那些信息可能將用戶的隱私信息、軟件的配置或者其他內(nèi)部資料泄露出去。 owasp說：各種網(wǎng)絡(luò)應(yīng)用軟件常常通過具體或者調(diào)試出錯(cuò)信息將內(nèi)部狀態(tài)信息泄露出去。通常，這些信息可能會(huì)導(dǎo)致用戶系統(tǒng)受到更有力的攻擊。 真實(shí)案例：信息泄露是通過錯(cuò)誤處理不當(dāng)發(fā)生的，choicepoint在2021年的崩潰就是這種類型的典型案例。攻擊者假扮是choicepoint的合法用戶在公司人員信息數(shù)據(jù)庫中查找某個(gè)人的資料，隨后竊取了16.3萬個(gè)消費(fèi)者的記錄資料。choicepoint后來對(duì)包含敏感數(shù)據(jù)的信息產(chǎn)品的銷售

9、進(jìn)展了限制。 如何愛護(hù)用戶：利用測試工具，比方owasp的webscarab project等來查看應(yīng)用軟件出現(xiàn)的錯(cuò)誤信息。owasp說：未通過這種方法進(jìn)展測試的應(yīng)用軟件幾乎確定會(huì)出現(xiàn)意外錯(cuò)誤信息。 另一個(gè)方法是：制止或者限制在錯(cuò)誤處理中用法具體信息，不向用戶顯示調(diào)試信息。 預(yù)防網(wǎng)站被攻擊7、擔(dān)心全的認(rèn)證和會(huì)話管理 問題：假如應(yīng)用軟件不能自始至終地愛護(hù)認(rèn)證證書和會(huì)話標(biāo)識(shí)，用戶的管理員賬戶就會(huì)被攻破。應(yīng)留意隱私侵害和認(rèn)證系統(tǒng)的根底原理并進(jìn)展有效監(jiān)控。 owasp說：主要驗(yàn)證機(jī)制中常常出現(xiàn)各種破綻，但是攻擊往往是通過注銷、密碼管理、限時(shí)登錄、自動(dòng)記憶、隱秘問題和賬戶更新等幫助驗(yàn)證功能綻開的。 真實(shí)

10、案例：微軟公司曾經(jīng)消退過hotmail中的一個(gè)破綻，惡意java腳本程序員曾經(jīng)在2021年利用這個(gè)破綻竊取了很多用戶密碼。這個(gè)破綻是一家聯(lián)網(wǎng)產(chǎn)品轉(zhuǎn)售商發(fā)覺的，包含木馬程序的電子郵件可以利用這個(gè)破綻更換hotmail用戶的操作界面，迫用法戶不斷重新輸入他們的密碼，并在用戶不知情的狀況下將它們發(fā)送給黑客。 如何愛護(hù)用戶：通信與認(rèn)證證書存儲(chǔ)應(yīng)確保平安性。傳輸私人文件的ssl協(xié)議應(yīng)當(dāng)是應(yīng)用軟件認(rèn)證系統(tǒng)中的唯一選擇，認(rèn)證證書應(yīng)以加密的形式進(jìn)展保存。 另一個(gè)方法是：除去認(rèn)證或者會(huì)話管理中用法的自定義cookie。 預(yù)防網(wǎng)站被攻擊8、擔(dān)心全的加密存儲(chǔ)設(shè)備 問題：雖然加密本身也是大局部網(wǎng)絡(luò)應(yīng)用軟件中的一個(gè)重要

11、組成局部，但是很多網(wǎng)絡(luò)開發(fā)員沒有對(duì)存儲(chǔ)中的敏感數(shù)據(jù)進(jìn)展加密。即便是現(xiàn)有的加密技術(shù)，其設(shè)計(jì)也是粗制濫造的。 owasp說：這些破綻可能會(huì)導(dǎo)致用戶敏感數(shù)據(jù)外泄以及破壞系統(tǒng)的全都性。. 真實(shí)案例：tjx數(shù)據(jù)失竊案中，被竊取的信譽(yù)卡和提款卡賬號(hào)到達(dá)了4570萬個(gè)。加拿大政府調(diào)查后認(rèn)為，tjx未能晉級(jí)其數(shù)據(jù)加密系統(tǒng)。 如何愛護(hù)用戶：不要開發(fā)你自己的加密算法。最好只用法已經(jīng)經(jīng)過審批的公開算法，比方aes、rsa公鑰加密以及sha-256或者更好的sha-256。 另外，千萬不要在擔(dān)心全渠道上傳送私人資料。 owasp說，如今將信譽(yù)卡賬號(hào)保存起來是比擬常見的做法，但是明年就是信譽(yù)卡行業(yè)數(shù)據(jù)平安標(biāo)準(zhǔn)發(fā)布的最終

12、期限，以后將不再將信譽(yù)卡賬號(hào)保存起來。 預(yù)防網(wǎng)站被攻擊9、跨站腳本(xss) 問題：xss破綻是最普遍和最致命的網(wǎng)絡(luò)應(yīng)用軟件平安破綻，當(dāng)一款應(yīng)用軟件將用戶數(shù)據(jù)發(fā)送到不帶認(rèn)證或者不對(duì)內(nèi)容進(jìn)展編碼的網(wǎng)絡(luò)掃瞄器時(shí)簡單發(fā)生。黑客可以利用掃瞄器中的惡意腳本獲得用戶的數(shù)據(jù)，破壞網(wǎng)站，插入有害內(nèi)容，以及綻開釣魚式攻擊和惡意攻擊。 真實(shí)案例：惡意攻擊者去年針對(duì)paypal發(fā)起了攻擊，他們將paypal用戶重新引導(dǎo)到另一個(gè)惡意網(wǎng)站并警告用戶，他們的賬戶已經(jīng)失竊。用戶們被引導(dǎo)到另一個(gè)釣魚式網(wǎng)站上，然后輸入自己的paypal登錄信息、社會(huì)保險(xiǎn)號(hào)和信譽(yù)卡資料。paypal公司稱，它在2021年6月修復(fù)了那個(gè)破綻。 如

13、何愛護(hù)用戶：利用一個(gè)白名單來驗(yàn)證接到的全部數(shù)據(jù)，來自白名單之外的數(shù)據(jù)一律攔截。另外，還可以對(duì)全部接收到的數(shù)據(jù)進(jìn)展編碼。owasp說：驗(yàn)證機(jī)制可以檢測攻擊，編碼那么可以防止其他惡意攻擊者在掃瞄器上運(yùn)行的內(nèi)容中插入其他腳本。 預(yù)防網(wǎng)站被攻擊10、注入破綻 問題：當(dāng)用戶供應(yīng)的數(shù)據(jù)被作為指令的一局部發(fā)送到轉(zhuǎn)換器(將文本指令轉(zhuǎn)換成可執(zhí)行的機(jī)器指令)的時(shí)候，黑客會(huì)欺騙轉(zhuǎn)換器。攻擊者可以利用注入破綻創(chuàng) 建、讀取、更新或者刪除應(yīng)用軟件上的任意數(shù)據(jù)。在最壞的狀況下，攻擊者可以利用這些破綻完全掌握應(yīng)用軟件和底層系統(tǒng)，甚至繞過系統(tǒng)底層的防火墻。 真實(shí)案例：俄羅斯黑客在2021年1月份攻破了美國羅得島政府網(wǎng)站，竊取了大量信譽(yù)卡資料。黑客們聲稱sql注入攻擊竊取了5.3萬個(gè)信譽(yù)卡賬號(hào)， 而主機(jī)效勞供給商那么聲稱只被竊取了4113個(gè)信譽(yù)卡賬號(hào)。 如何愛護(hù)用戶：盡可能不要用法轉(zhuǎn)換器。owasp組織說：假如你必需用法轉(zhuǎn)換器，那么，避開患病注入攻擊的最好方法是用法平安的api，