在我们的广告中,您通常可以读到这一点 70%的网站是可拍的。然而,悲伤的事实是,每个网站和Web应用程序都可以被黑客攻击,给予足够的时间和资源。

什么使网站或Web应用程序落在上述70%内不仅仅是漏洞。您的网络资产的安全性也大大取决于攻击者的能力和动机。

攻击者和目标类别

要了解安全风险,您必须首先知道您可能遇到的类型的攻击者以及如何选择目标。根据其技术知识,动机和操作方法,攻击者可以分为三个主要类别:

  • 脚本小孩:该术语是指业余袭击者,其主要动机是传播混乱(例如,通过拒绝服务攻击)或获得声誉 - 较不经常获得财务收益。他们的技术知识有限,它们主要使用现有工具并寻求轻松获胜。除非它具有直接财务价值,否则它们没有野心以访问敏感数据,例如,信用卡号。
  • 黑帽黑客:该术语是指专业攻击者,其主要动机是财务,其运作方法是非法的和不道德的。他们的技术知识可能是巨大的,他们可能采用非常复杂和高效的操作方法。不幸的是,越来越多的黑帽黑客现在参与有组织犯罪,这使得它们更加危险。
  • 白帽黑客:该术语是指专业攻击者,其动机是财务,但它们的运作方法是合法和道德的。他们帮助您通过找到它们并向您了解他们来消除您的漏洞。白帽黑客不会造成伤害,相反。你应该尊重他们 邀请他们通过提供Bug Bounties来测试您的保护.

攻击也可以根据选择的目标是如何选择的,分为两个主要类别:

  • 机会主义的攻击:该术语适用于基于开发潜力随机选择目标时。攻击者扫描一系列目标并找到那些容易受到特定攻击技术的目标。例如,攻击者可以查找易受攻击的所有WordPress 1.5安装 SQL注入 (CVE-2005-1687.)。这种攻击在脚本童话中普遍存在。
  • 有针对性的攻击:此术语适用于特定于攻击者的特定值选择目标时选择目标。攻击者试图找到安全问题以获得目标。例如,攻击者可以尝试访问敏感数据,例如企业的客户详细列表,其动机可能是工业间谍活动。这种攻击是黑帽黑客的领域。

即使您认为您的业务对专业攻击者的价值很少,您仍可能是机会主义攻击的潜在目标。如果您的敏感信息的值足够高,即使是强大的访问控制和前沿保护机制也可能不足以阻止专业恶意黑客。你越努力保护自己,攻击者将成功的机会越少。而你可以做出的最大错误就是认为这不适用于你。

Web应用程序安全性的重要性

虽然Web攻击不是可能导致安全妥协的唯一攻击类型,但它们是最常见的类型之一,以及所有形式的社交工程(包括网络钓鱼)和恶意软件。这些类型通常也与之结合使用。但是,尽管Web应用程序安全性重要性,但很多企业仍然努力维护它。以下是关于如何实现最佳安全级别的建议:

  • 使用启发式检测。如果您只使用基于签名的检测系统,则您只能对脚本 - 婴儿保护您的资产。专业的黑帽黑客依靠查找Web应用程序漏洞,只能使用启发式发现 Web漏洞扫描仪,例如Acunetix,或 手动渗透测试.
  • 通过网络安全优先考虑Web安全性。如果您关注网络安全超过Web安全性,您应该意识到过去几年的主要违规是由于网络安全问题,例如与SSL / TLS错误相关的。另一方面,来自OWASP前10名列表(如SQL注入攻击)的Web安全问题引起了相当多的主要违规行为, 跨站点脚本(XSS)CSRF.,Web服务器和容器错误配置等
  • 消除问题的来源。如果您觉得Web应用程序防火墙足以保护您的资产,您应该意识到WAF规则通常可以使用恶意代码和精心设计的用户输入来避免。通过使用没有其他措施的WAF,您不会消除问题的来源,而只是应用临时借助。

Web应用程序安全性不仅仅是发现安全漏洞并消除它们,但它也是预防。这是关于改变您的Web开发和操作时的方式:

  • 教育:减少攻击表面的最有效方法是教育整个团队。您的开发人员,管理员,测试人员以及甚至非技术人员都应该了解潜在的网络安全问题,并应该知道如何避免介绍这些问题。
  • 左转:您应该旨在尽快消除Web安全问题 左转 在软件开发生命周期中包含Web安全性。如果您在生产Web服务器上发现问题而不是之前,则可能是您的进程未进行优化的标志。
  • 全面:请记住,Web安全性不仅适用于通过Web浏览器直接访问的服务器端和客户端内容,还适用于Web Services,API, 移动服务IoT设备, 和更多。

资源: //www.acunetix.com/blog/web-security-zone/web-security-basics/