2023-06-22 分類: 網(wǎng)站建設
然而,目前的現(xiàn)實是,針對網(wǎng)站和應用程序的攻擊達到了創(chuàng)紀錄的高度,敏感數(shù)據(jù)的共享比以往任何時候都多。有海外市場調(diào)查顯示,33% 的網(wǎng)站和應用程序允許第三方通過 API 創(chuàng)建 / 修改 / 刪除數(shù)據(jù);1/3 的網(wǎng)站和應用程序與第三方共享敏感數(shù)據(jù);67% 的人認為黑客可以穿透他們的網(wǎng)絡;89% 的人認為網(wǎng)絡抓取是他們知識產(chǎn)權的重大威脅;83% 的受訪者正在啟用 BUG 賞金計劃,以找到他們網(wǎng)站和應用程序漏洞。與此同時,采用新興框架和架構 (依賴于與多種服務的眾多集成) 會增加復雜性并增加攻擊面。
2017 年 11 月,OWASP 發(fā)布了 Web 應用程序中十大漏洞的新列表。黑客繼續(xù)使用注入、XSS 和一些傳統(tǒng)技術 (如 CSRF,RFI / LFI 和會話劫持) 來利用這些漏洞并獲取對敏感信息的未授權訪問。隨著攻擊來自可靠的來源,例如 CDN、加密流量或我們集成的系統(tǒng)和服務的 API,保護變得越來越復雜。機器人的行為與真實用戶一樣,可以繞過諸如 CAPTCHA,基于 IP 的檢測等挑戰(zhàn),從而更加難以保護和優(yōu)化用戶體驗。
因此,我們的 Web 應用程序安全解決方案需要更加智能,并且可以解決各種漏洞利用方案。除了保護應用程序免受這些常見漏洞之外,它還需要保護 API 并緩解 DoS 攻擊,管理機器人流量并區(qū)分合法機器人 (例如搜索引擎) 和僵尸網(wǎng)絡,網(wǎng)絡抓取工具等。
一、DDoS 攻擊
DoS 攻擊通過耗盡應用程序資源使應用程序無法運行。緩沖區(qū)溢出和 HTTP 泛洪是最常見的 DoS 攻擊類型,這種形式的攻擊在 APAC 中更為常見。36% 的人認為 HTTP / Layer-7 DDoS 是最難緩解的攻擊。一半的企業(yè)采用基于速率的方法 (例如限制來自某個來源的請求數(shù)量或僅僅購買基于速率的 DDoS 保護解決方案),一旦超過閾值且真實用戶無法連接,這些方法無效。建議參考創(chuàng)新互聯(lián)香港高防服務器,其香港高防服務器基于先進的攻擊檢測和處理系統(tǒng),可精準識別 25 種以上的多種 DDoS/CC 變種攻擊,并秒級觸發(fā)清洗機制,可有效清洗高達 500Gbps 的大規(guī)模 DDoS 攻擊,并保證合法流量的正常通過,即使 DDoS 攻擊高峰期間也能保證你的網(wǎng)站和應用程序持續(xù)運行。創(chuàng)新互聯(lián)香港高防服務器提供壓力測試,提供防御無效退款承諾。
二、API 攻擊
API 簡化了應用程序服務的體系結(jié)構和交付,并使數(shù)字交互成為可能。不幸的是,它們還引入了廣泛的風險和漏洞,成為黑客入侵網(wǎng)絡的后門。通過 API,數(shù)據(jù)在 HTTP 中交換,雙方接收、處理和共享信息。理論上,第三方能夠從應用程序插入、修改、刪除和檢索內(nèi)容。調(diào)查顯示,62% 的受訪者沒有對通過 API 發(fā)送的數(shù)據(jù)進行加密;70% 的受訪者不需要身份驗證;33% 允許第三方執(zhí)行操作 (GET / POST / PUT / DELETE)。這些都使黑客針對 API 發(fā)起攻擊成為可能。
三、機器人攻擊
好壞機器人流量的數(shù)量都在增長。企業(yè)被迫增加網(wǎng)絡容量,并且需要能夠從中準確地分辨出攻擊流量和正常流量,從而保持客戶體驗和安全性。黑客可以使用網(wǎng)絡爬蟲抓取你的網(wǎng)站和應用程序信息,包括你的定價信息、克隆你的網(wǎng)站代碼、侵犯你的知識產(chǎn)權,以及在你的促銷活動時薅羊毛等。
四、數(shù)據(jù)泄露
盡管絕大多數(shù)企業(yè)都密切關注他們收集和共享的數(shù)據(jù)類型。但是,幾乎近半企業(yè)都曾遭遇過違規(guī)行為。平均而言,一個企業(yè)每年遭受 16.5 次違規(guī)嘗試。大多數(shù)人花費數(shù)小時和數(shù)天才發(fā)現(xiàn),甚至一直沒有發(fā)現(xiàn)。從調(diào)查結(jié)果看,數(shù)據(jù)泄露是最難以發(fā)現(xiàn)和解決的攻擊。企業(yè)如何發(fā)現(xiàn)數(shù)據(jù)泄露 ? 啟用異常檢測工具、Darknet 監(jiān)控服務、信息被公開泄露、被勒索要求贖金等。
五、攻擊影響
諸如利潤受損、聲譽損失、客戶補償、法律訴訟、客戶流失以及股價下跌等負面影響,并且修復公司聲譽受損的過程很長,而且并不總是成功。
六、確保新興應用程序開發(fā)框架的安全
快速增長的應用程序數(shù)量及其在多個環(huán)境中的分布需要進行調(diào)整,一旦需要對應用程序進行更改,就會導致變化。幾乎不可能在所有環(huán)境中有效地部署和維護相同的安全策略。雖然 93% 的企業(yè)使用 Web 應用程序防火墻 (WAF),但只有三分之一使用的 WAF 結(jié)合了正面和負面的安全模型,以實現(xiàn)有效的應用程序保護。在使用云服務器的受訪者中,有一半將數(shù)據(jù)保護評為大挑戰(zhàn),其次是可用性保證、策略實施、身份驗證和可見性。
其實,絕大多數(shù)企業(yè)對于其網(wǎng)站和應用程序的安全性都存在盲目的自信,這是一種虛假的安全感。攻擊方式在不斷發(fā)展,安全措施并非萬無一失。擁有應用程序安全工具和流程可以提供控制感,但它們很可能遲早會被破壞或繞過。另外,很多企業(yè)高管并不完全了解其日常事件。他們期待他們的內(nèi)部團隊負責應用程序安全性來管理問題,但他們對企業(yè)的應用程序安全策略的有效性和實際風險暴露的看法之間似乎存在脫節(jié)。
本文標題:?你的網(wǎng)站和應用程序安全嗎
文章源于:http://m.newbst.com/news25/266275.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護、網(wǎng)頁設計公司、服務器托管、營銷型網(wǎng)站建設、建站公司、小程序開發(fā)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容