2023-06-22 分類: 網(wǎng)站建設(shè)
然而,目前的現(xiàn)實(shí)是,針對網(wǎng)站和應(yīng)用程序的攻擊達(dá)到了創(chuàng)紀(jì)錄的高度,敏感數(shù)據(jù)的共享比以往任何時(shí)候都多。有海外市場調(diào)查顯示,33% 的網(wǎng)站和應(yīng)用程序允許第三方通過 API 創(chuàng)建 / 修改 / 刪除數(shù)據(jù);1/3 的網(wǎng)站和應(yīng)用程序與第三方共享敏感數(shù)據(jù);67% 的人認(rèn)為黑客可以穿透他們的網(wǎng)絡(luò);89% 的人認(rèn)為網(wǎng)絡(luò)抓取是他們知識產(chǎn)權(quán)的重大威脅;83% 的受訪者正在啟用 BUG 賞金計(jì)劃,以找到他們網(wǎng)站和應(yīng)用程序漏洞。與此同時(shí),采用新興框架和架構(gòu) (依賴于與多種服務(wù)的眾多集成) 會增加復(fù)雜性并增加攻擊面。
2017 年 11 月,OWASP 發(fā)布了 Web 應(yīng)用程序中十大漏洞的新列表。黑客繼續(xù)使用注入、XSS 和一些傳統(tǒng)技術(shù) (如 CSRF,RFI / LFI 和會話劫持) 來利用這些漏洞并獲取對敏感信息的未授權(quán)訪問。隨著攻擊來自可靠的來源,例如 CDN、加密流量或我們集成的系統(tǒng)和服務(wù)的 API,保護(hù)變得越來越復(fù)雜。機(jī)器人的行為與真實(shí)用戶一樣,可以繞過諸如 CAPTCHA,基于 IP 的檢測等挑戰(zhàn),從而更加難以保護(hù)和優(yōu)化用戶體驗(yàn)。
因此,我們的 Web 應(yīng)用程序安全解決方案需要更加智能,并且可以解決各種漏洞利用方案。除了保護(hù)應(yīng)用程序免受這些常見漏洞之外,它還需要保護(hù) API 并緩解 DoS 攻擊,管理機(jī)器人流量并區(qū)分合法機(jī)器人 (例如搜索引擎) 和僵尸網(wǎng)絡(luò),網(wǎng)絡(luò)抓取工具等。
一、DDoS 攻擊
DoS 攻擊通過耗盡應(yīng)用程序資源使應(yīng)用程序無法運(yùn)行。緩沖區(qū)溢出和 HTTP 泛洪是最常見的 DoS 攻擊類型,這種形式的攻擊在 APAC 中更為常見。36% 的人認(rèn)為 HTTP / Layer-7 DDoS 是最難緩解的攻擊。一半的企業(yè)采用基于速率的方法 (例如限制來自某個(gè)來源的請求數(shù)量或僅僅購買基于速率的 DDoS 保護(hù)解決方案),一旦超過閾值且真實(shí)用戶無法連接,這些方法無效。建議參考創(chuàng)新互聯(lián)香港高防服務(wù)器,其香港高防服務(wù)器基于先進(jìn)的攻擊檢測和處理系統(tǒng),可精準(zhǔn)識別 25 種以上的多種 DDoS/CC 變種攻擊,并秒級觸發(fā)清洗機(jī)制,可有效清洗高達(dá) 500Gbps 的大規(guī)模 DDoS 攻擊,并保證合法流量的正常通過,即使 DDoS 攻擊高峰期間也能保證你的網(wǎng)站和應(yīng)用程序持續(xù)運(yùn)行。創(chuàng)新互聯(lián)香港高防服務(wù)器提供壓力測試,提供防御無效退款承諾。
二、API 攻擊
API 簡化了應(yīng)用程序服務(wù)的體系結(jié)構(gòu)和交付,并使數(shù)字交互成為可能。不幸的是,它們還引入了廣泛的風(fēng)險(xiǎn)和漏洞,成為黑客入侵網(wǎng)絡(luò)的后門。通過 API,數(shù)據(jù)在 HTTP 中交換,雙方接收、處理和共享信息。理論上,第三方能夠從應(yīng)用程序插入、修改、刪除和檢索內(nèi)容。調(diào)查顯示,62% 的受訪者沒有對通過 API 發(fā)送的數(shù)據(jù)進(jìn)行加密;70% 的受訪者不需要身份驗(yàn)證;33% 允許第三方執(zhí)行操作 (GET / POST / PUT / DELETE)。這些都使黑客針對 API 發(fā)起攻擊成為可能。
三、機(jī)器人攻擊
好壞機(jī)器人流量的數(shù)量都在增長。企業(yè)被迫增加網(wǎng)絡(luò)容量,并且需要能夠從中準(zhǔn)確地分辨出攻擊流量和正常流量,從而保持客戶體驗(yàn)和安全性。黑客可以使用網(wǎng)絡(luò)爬蟲抓取你的網(wǎng)站和應(yīng)用程序信息,包括你的定價(jià)信息、克隆你的網(wǎng)站代碼、侵犯你的知識產(chǎn)權(quán),以及在你的促銷活動時(shí)薅羊毛等。
四、數(shù)據(jù)泄露
盡管絕大多數(shù)企業(yè)都密切關(guān)注他們收集和共享的數(shù)據(jù)類型。但是,幾乎近半企業(yè)都曾遭遇過違規(guī)行為。平均而言,一個(gè)企業(yè)每年遭受 16.5 次違規(guī)嘗試。大多數(shù)人花費(fèi)數(shù)小時(shí)和數(shù)天才發(fā)現(xiàn),甚至一直沒有發(fā)現(xiàn)。從調(diào)查結(jié)果看,數(shù)據(jù)泄露是最難以發(fā)現(xiàn)和解決的攻擊。企業(yè)如何發(fā)現(xiàn)數(shù)據(jù)泄露 ? 啟用異常檢測工具、Darknet 監(jiān)控服務(wù)、信息被公開泄露、被勒索要求贖金等。
五、攻擊影響
諸如利潤受損、聲譽(yù)損失、客戶補(bǔ)償、法律訴訟、客戶流失以及股價(jià)下跌等負(fù)面影響,并且修復(fù)公司聲譽(yù)受損的過程很長,而且并不總是成功。
六、確保新興應(yīng)用程序開發(fā)框架的安全
快速增長的應(yīng)用程序數(shù)量及其在多個(gè)環(huán)境中的分布需要進(jìn)行調(diào)整,一旦需要對應(yīng)用程序進(jìn)行更改,就會導(dǎo)致變化。幾乎不可能在所有環(huán)境中有效地部署和維護(hù)相同的安全策略。雖然 93% 的企業(yè)使用 Web 應(yīng)用程序防火墻 (WAF),但只有三分之一使用的 WAF 結(jié)合了正面和負(fù)面的安全模型,以實(shí)現(xiàn)有效的應(yīng)用程序保護(hù)。在使用云服務(wù)器的受訪者中,有一半將數(shù)據(jù)保護(hù)評為大挑戰(zhàn),其次是可用性保證、策略實(shí)施、身份驗(yàn)證和可見性。
其實(shí),絕大多數(shù)企業(yè)對于其網(wǎng)站和應(yīng)用程序的安全性都存在盲目的自信,這是一種虛假的安全感。攻擊方式在不斷發(fā)展,安全措施并非萬無一失。擁有應(yīng)用程序安全工具和流程可以提供控制感,但它們很可能遲早會被破壞或繞過。另外,很多企業(yè)高管并不完全了解其日常事件。他們期待他們的內(nèi)部團(tuán)隊(duì)負(fù)責(zé)應(yīng)用程序安全性來管理問題,但他們對企業(yè)的應(yīng)用程序安全策略的有效性和實(shí)際風(fēng)險(xiǎn)暴露的看法之間似乎存在脫節(jié)。
本文標(biāo)題:?你的網(wǎng)站和應(yīng)用程序安全嗎
文章源于:http://jinyejixie.com/news25/266275.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護(hù)、網(wǎng)頁設(shè)計(jì)公司、服務(wù)器托管、營銷型網(wǎng)站建設(shè)、建站公司、小程序開發(fā)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容