在我们的广告中,您经常可以读到 70%的网站可被黑客入侵。可悲的事实是,只要有足够的时间和资源,每个网站和Web应用程序都可以被黑客入侵。

使网站或Web应用程序落在上述70%之内的不仅仅是漏洞。您的网络资产的安全性在很大程度上还取决于攻击者的能力和动机。

攻击者和目标类别

要了解安全风险,您必须首先知道您可能遇到的攻击者类型以及他们如何选择目标。攻击者可以根据其技术知识,动机和操作方法分为三大类:

  • 脚本小子:该术语指的是业余攻击者,其主要动机是散布混乱(例如,通过拒绝服务攻击)或获得声誉-减少获得财务收益的频率。他们的技术知识有限,他们主要使用现有工具并寻求轻松的胜利。他们无意访问敏感数据,除非它具有直接的财务价值,例如信用卡号。
  • 黑帽黑客:此术语是指专业攻击者,其主要动机是财务,其操作方法是非法的和不道德的。他们的技术知识可能很广,并且可能会采用非常复杂和有效的操作方法。不幸的是,现在越来越多的黑帽黑客参与了有组织的犯罪活动,这使他们更加危险。
  • 白帽黑客:此术语是指职业攻击者,其动机是经济上的,但其操作方法是合法且符合道德的。它们可以通过查找漏洞并向您提供有关漏洞的信息来帮助您消除漏洞。白帽黑客没有造成任何伤害,相反。你应该尊重他们 邀请他们通过提供漏洞赏金来测试对您的保护.

根据选择目标的方式,攻击也可以分为两个主要类别:

  • 机会攻击:该术语适用于根据开发潜力随机选择目标的情况。攻击者扫描一系列目标,找到容易受到特定攻击技术攻击的目标。例如,攻击者可能会寻找容易受到攻击的所有WordPress 1.5安装 SQL注入 (CVE-2005-1687)。这种攻击在脚本小子中很普遍。
  • 针对性攻击:当根据攻击者的特定价值专门选择目标时,该术语适用。攻击者试图找到安全问题以实现其目标。例如,攻击者可能试图访问敏感数据,例如企业客户的详细列表,他们的动机可能是工业间谍活动。这种攻击是黑帽黑客的领域。

即使您认为您的业务对专业攻击者而言价值不大,您仍可能是机会攻击的潜在目标。而且,如果您的敏感信息的价值足够高,那么即使强大的访问控制和前沿保护机制也可能不足以阻止专业的恶意黑客。您所做的自我保护越多,攻击者成功的机会就越小。您可能犯的最大错误是认为这不适用于您。

Web应用程序安全性的重要性

尽管Web攻击不是唯一一种可能导致安全威胁的攻击,但它是与所有形式的社会工程(包括网络钓鱼)和恶意软件一起最常见的类型之一。这些类型通常也结合使用。但是,尽管Web应用程序安全性很重要,但许多企业仍在努力维护它。以下是有关如何达到最佳安全级别的建议:

  • 使用启发式检测。如果仅使用基于签名的检测系统,则只能保护您的资产免受脚本攻击。专业的黑帽黑客依靠发现只能使用启发式发现的Web应用程序漏洞 网络漏洞扫描器,例如Acunetix,或 手动渗透测试.
  • 将网络安全置于网络安全之上。如果您将重点放在网络安全上而不是Web安全上,那么您应该意识到,在过去的几年中,很少有主要的漏洞是由于网络安全问题引起的,例如与SSL / TLS错误相关的漏洞。另一方面,OWASP Top-10列表中的网络安全问题(例如SQL注入攻击, 跨站点脚本(XSS)CSRF,Web服务器和容器配置错误等。
  • 消除问题根源。如果您认为Web应用程序防火墙足以保护您的资产,则应意识到,经常可以使用恶意代码和精心设计的用户输入来规避WAF规则。通过不采取其他措施使用WAF,您并不能消除问题的根源,而只是应用临时的创可贴。

Web应用程序的安全性不仅涉及发现安全漏洞并消除它们,而且还涉及预防。这是关于更改网络开发和运营方式的方法:

  • 教育:减少攻击面的最有效方法是教育您的整个团队。您的开发人员,管理员,测试人员,甚至非技术人员都应了解潜在的Web安全问题,并应知道如何避免引入此类问题。
  • 左移:您应致力于通过以下方式尽快消除网络安全问题: 向左移动 并将网络安全性纳入您的软件开发生命周期中。如果您在生产Web服务器上而不是之前发现问题,则可能表明您的流程没有得到优化。
  • 全面:请记住,网络安全不仅适用于可通过网络浏览器直接访问的服务器端和客户端内容,而且还适用于网络服务,API, 移动服务物联网设备, 和更多。

来源: //www.acunetix.com/blog/web-security-zone/web-security-basics/