引言

在今天的數(shù)字時(shí)代，隨著手機(jī)應(yīng)用程序（APP）的快速發(fā)展，應(yīng)用程序的安全性問題變得尤為突出。黑客和惡意攻擊者利用各種方法試圖攻擊和利用應(yīng)用程序的弱點(diǎn)，竊取用戶數(shù)據(jù)、破壞應(yīng)用程序或者獲取非法利益。為了防止應(yīng)用程序被攻擊，開發(fā)者和企業(yè)需要采取一系列綜合的防御策略。知己知彼百戰(zhàn)不殆，當(dāng)今網(wǎng)絡(luò)時(shí)代，了解自己面對(duì)著何種威脅比以往任何時(shí)候都來得更為重要。每種惡意攻擊都有自己的特性，不同類型的攻擊那么多，似乎不太可能全方位無死角抵御全部攻擊。但我們?nèi)匀豢梢宰鲈S多工作來保護(hù)網(wǎng)站，緩解惡意黑客對(duì)網(wǎng)站造成的風(fēng)險(xiǎn)。本文將針對(duì)應(yīng)用程序的安全性問題，介紹幾種常見的主要攻擊類型，并提供全方位的防御措施。

1、Distributed Denial of Service(DDoS)攻擊

DDoS攻擊本身不能使惡意黑客突破安全措施，但會(huì)令網(wǎng)站暫時(shí)或永久掉線。DDoS旨在用請(qǐng)求洪水壓垮目標(biāo)Web服務(wù)器，讓其他訪客無法訪問網(wǎng)站。僵尸網(wǎng)絡(luò)通常能夠利用之前感染的計(jì)算機(jī)從全球各地協(xié)同發(fā)送大量請(qǐng)求。而且，DDoS攻擊常與其他攻擊方法搭配使用；攻擊者利用DDoS攻擊吸引安全系統(tǒng)火力，從而暗中利用漏洞入侵系統(tǒng)。

保護(hù)網(wǎng)站免遭DDoS攻擊侵害一般要從幾個(gè)方面著手。部署防DDoS設(shè)備，如Web應(yīng)用防火墻（WAF）。使用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）分散和緩存流量。利用云服務(wù)供應(yīng)商提供的DDoS防護(hù)服務(wù)。實(shí)施速率限制，以限制每個(gè)IP地址的連接數(shù)量。 配置網(wǎng)絡(luò)設(shè)備，阻止泛洪ICMP和SYN請(qǐng)求。

2、SQL注入攻擊

開放Web應(yīng)用安全項(xiàng)目（OWASP）新出爐的十大應(yīng)用安全風(fēng)險(xiǎn)研究中，注入漏洞被列為網(wǎng)站最高風(fēng)險(xiǎn)因素。也是網(wǎng)絡(luò)罪犯最常用的注入手法。它直接針對(duì)網(wǎng)站和服務(wù)器的數(shù)據(jù)庫(kù)。執(zhí)行時(shí)，攻擊者注入一段能夠揭示隱藏?cái)?shù)據(jù)和用戶輸入的代碼，獲得數(shù)據(jù)修改權(quán)限，全面俘獲應(yīng)用。

保護(hù)網(wǎng)站不受注入攻擊危害，主要落實(shí)到代碼庫(kù)構(gòu)建上。比如說，緩解SQL注入風(fēng)險(xiǎn)的首選方法就是始終盡量采用參數(shù)化語句。使用參數(shù)化查詢和預(yù)編譯語句來對(duì)數(shù)據(jù)庫(kù)查詢進(jìn)行有效的輸入驗(yàn)證。對(duì)所有用戶輸入進(jìn)行驗(yàn)證和篩選。 使用最小權(quán)限原則來限制對(duì)數(shù)據(jù)庫(kù)的訪問。定期更新和修補(bǔ)數(shù)據(jù)庫(kù)軟件以及關(guān)聯(lián)的工具庫(kù)。

3、跨站腳本 (XSS)攻擊

Precise Security是最為常見的一類網(wǎng)絡(luò)攻擊。但盡管最為常見，大部分跨站腳本攻擊卻不是特別高端，多為業(yè)余網(wǎng)絡(luò)罪犯使用別人編寫的腳本發(fā)起的?？缯灸_本針對(duì)的是網(wǎng)站的用戶，而不是Web應(yīng)用本身。惡意黑客在有漏洞的網(wǎng)站里注入一段代碼，然后網(wǎng)站訪客執(zhí)行這段代碼。此類代碼可以入侵用戶賬戶，激活木馬程序，或者修改網(wǎng)站內(nèi)容，誘騙用戶給出私人信息。

被這類攻擊后，你需要設(shè)置Web應(yīng)用防火墻（WAF），WAF就像個(gè)過濾器，對(duì)所有用戶輸入進(jìn)行適當(dāng)?shù)尿?yàn)證和過濾，能夠識(shí)別并阻止對(duì)網(wǎng)站的惡意請(qǐng)求。另外使用安全的編碼方法，如實(shí)體編碼，來輸出動(dòng)態(tài)內(nèi)容。同時(shí)利用內(nèi)容安全策略（CSP）來限制可執(zhí)行的腳本，啟用瀏覽器內(nèi)置的XSS過濾功能。

4、 跨站請(qǐng)求偽造（CSRF）攻擊

攻擊者利用用戶的登錄狀態(tài)發(fā)送偽造的請(qǐng)求，導(dǎo)致對(duì)用戶數(shù)據(jù)的篡改或者其他非預(yù)期操作。

保護(hù)應(yīng)用程序免受CSRF攻擊的方法包括：使用CSRF令牌，為每個(gè)具有狀態(tài)變更能力的請(qǐng)求生成一個(gè)唯一的、不可預(yù)測(cè)的值。使用同源策略來確保只有可信域名可以發(fā)送請(qǐng)求。對(duì)用戶輸入進(jìn)行驗(yàn)證和篩選。

5、無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

公共無線網(wǎng)絡(luò)和移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)可能被攻擊者利用，泄露用戶數(shù)據(jù)或劫持會(huì)話。

保護(hù)移動(dòng)應(yīng)用程序免受這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法包括：使用傳輸層安全協(xié)議（TLS/SSL）對(duì)所有數(shù)據(jù)傳輸進(jìn)行加密。配置應(yīng)用程序和服務(wù)器之間的TLS/SSL證書，以確保雙方身份可靠性。不在應(yīng)用程序中存儲(chǔ)敏感數(shù)據(jù)，如密碼或私鑰。

其他

當(dāng)然也還有其他安全防御措施：

安全設(shè)計(jì)與開發(fā)；輸入驗(yàn)證與過濾；數(shù)據(jù)加密；訪問控制與權(quán)限管理；漏洞修復(fù)與補(bǔ)丁更新；安全編碼實(shí)踐；安全日志與監(jiān)測(cè)；安全測(cè)試與滲透測(cè)試；應(yīng)急響應(yīng)計(jì)劃與恢復(fù)策略；培訓(xùn)與意識(shí)提升；等等，這里我就不再一一分享了。

以上就是應(yīng)對(duì)app或者網(wǎng)站常見幾種攻擊類型方法的詳細(xì)內(nèi)容，更多關(guān)于應(yīng)對(duì)網(wǎng)站app攻擊類型的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論