?你的網(wǎng)站和應(yīng)用程序安全嗎

高防服務(wù)器隨著更多類似英國(guó)航空公司等越來越陡數(shù)據(jù)泄露事件和其他攻擊事件的曝光，各類網(wǎng)站和應(yīng)用程序面臨數(shù)據(jù)泄露、僵尸程序管理、DDoS 攻擊、API 安全等安全挑戰(zhàn)，促使眾多企業(yè)高管和 IT 專精人員更加重視網(wǎng)站和應(yīng)用程序的安全策略，包括引入 GDPR(《通用數(shù)據(jù)保護(hù)條例》)、采用新的應(yīng)用程序開發(fā)架構(gòu)和框架等。這些措施使許多企業(yè)高管對(duì)其安全模型有效減輕 Web 應(yīng)用程序攻擊的能力表示極具信心。

然而，目前的現(xiàn)實(shí)是，針對(duì)網(wǎng)站和應(yīng)用程序的攻擊達(dá)到了創(chuàng)紀(jì)錄的高度，敏感數(shù)據(jù)的共享比以往任何時(shí)候都多。有海外市場(chǎng)調(diào)查顯示，33% 的網(wǎng)站和應(yīng)用程序允許第三方通過 API 創(chuàng)建 / 修改 / 刪除數(shù)據(jù);1/3 的網(wǎng)站和應(yīng)用程序與第三方共享敏感數(shù)據(jù);67% 的人認(rèn)為黑客可以穿透他們的網(wǎng)絡(luò);89% 的人認(rèn)為網(wǎng)絡(luò)抓取是他們知識(shí)產(chǎn)權(quán)的重大威脅;83% 的受訪者正在啟用 BUG 賞金計(jì)劃，以找到他們網(wǎng)站和應(yīng)用程序漏洞。與此同時(shí)，采用新興框架和架構(gòu) (依賴于與多種服務(wù)的眾多集成) 會(huì)增加復(fù)雜性并增加攻擊面。

2017 年 11 月，OWASP 發(fā)布了 Web 應(yīng)用程序中十大漏洞的新列表。黑客繼續(xù)使用注入、XSS 和一些傳統(tǒng)技術(shù) (如 CSRF，RFI / LFI 和會(huì)話劫持) 來利用這些漏洞并獲取對(duì)敏感信息的未授權(quán)訪問。隨著攻擊來自可靠的來源，例如 CDN、加密流量或我們集成的系統(tǒng)和服務(wù)的 API，保護(hù)變得越來越復(fù)雜。機(jī)器人的行為與真實(shí)用戶一樣，可以繞過諸如 CAPTCHA，基于 IP 的檢測(cè)等挑戰(zhàn)，從而更加難以保護(hù)和優(yōu)化用戶體驗(yàn)。

因此，我們的 Web 應(yīng)用程序安全解決方案需要更加智能，并且可以解決各種漏洞利用方案。除了保護(hù)應(yīng)用程序免受這些常見漏洞之外，它還需要保護(hù) API 并緩解 DoS 攻擊，管理機(jī)器人流量并區(qū)分合法機(jī)器人 (例如搜索引擎) 和僵尸網(wǎng)絡(luò)，網(wǎng)絡(luò)抓取工具等。

　　一、DDoS 攻擊

DoS 攻擊通過耗盡應(yīng)用程序資源使應(yīng)用程序無法運(yùn)行。緩沖區(qū)溢出和 HTTP 泛洪是最常見的 DoS 攻擊類型，這種形式的攻擊在 APAC 中更為常見。36% 的人認(rèn)為 HTTP / Layer-7 DDoS 是最難緩解的攻擊。一半的企業(yè)采用基于速率的方法 (例如限制來自某個(gè)來源的請(qǐng)求數(shù)量或僅僅購(gòu)買基于速率的 DDoS 保護(hù)解決方案)，一旦超過閾值且真實(shí)用戶無法連接，這些方法無效。建議參考創(chuàng)新互聯(lián)香港高防服務(wù)器，其香港高防服務(wù)器基于先進(jìn)的攻擊檢測(cè)和處理系統(tǒng)，可精準(zhǔn)識(shí)別 25 種以上的多種 DDoS/CC 變種攻擊，并秒級(jí)觸發(fā)清洗機(jī)制，可有效清洗高達(dá) 500Gbps 的大規(guī)模 DDoS 攻擊，并保證合法流量的正常通過，即使 DDoS 攻擊高峰期間也能保證你的網(wǎng)站和應(yīng)用程序持續(xù)運(yùn)行。創(chuàng)新互聯(lián)香港高防服務(wù)器提供壓力測(cè)試，提供防御無效退款承諾。

　　二、API 攻擊

API 簡(jiǎn)化了應(yīng)用程序服務(wù)的體系結(jié)構(gòu)和交付，并使數(shù)字交互成為可能。不幸的是，它們還引入了廣泛的風(fēng)險(xiǎn)和漏洞，成為黑客入侵網(wǎng)絡(luò)的后門。通過 API，數(shù)據(jù)在 HTTP 中交換，雙方接收、處理和共享信息。理論上，第三方能夠從應(yīng)用程序插入、修改、刪除和檢索內(nèi)容。調(diào)查顯示，62% 的受訪者沒有對(duì)通過 API 發(fā)送的數(shù)據(jù)進(jìn)行加密;70% 的受訪者不需要身份驗(yàn)證;33% 允許第三方執(zhí)行操作 (GET / POST / PUT / DELETE)。這些都使黑客針對(duì) API 發(fā)起攻擊成為可能。

　　三、機(jī)器人攻擊

好壞機(jī)器人流量的數(shù)量都在增長(zhǎng)。企業(yè)被迫增加網(wǎng)絡(luò)容量，并且需要能夠從中準(zhǔn)確地分辨出攻擊流量和正常流量，從而保持客戶體驗(yàn)和安全性。黑客可以使用網(wǎng)絡(luò)爬蟲抓取你的網(wǎng)站和應(yīng)用程序信息，包括你的定價(jià)信息、克隆你的網(wǎng)站代碼、侵犯你的知識(shí)產(chǎn)權(quán)，以及在你的促銷活動(dòng)時(shí)薅羊毛等。

　　四、數(shù)據(jù)泄露

盡管絕大多數(shù)企業(yè)都密切關(guān)注他們收集和共享的數(shù)據(jù)類型。但是，幾乎近半企業(yè)都曾遭遇過違規(guī)行為。平均而言，一個(gè)企業(yè)每年遭受 16.5 次違規(guī)嘗試。大多數(shù)人花費(fèi)數(shù)小時(shí)和數(shù)天才發(fā)現(xiàn)，甚至一直沒有發(fā)現(xiàn)。從調(diào)查結(jié)果看，數(shù)據(jù)泄露是最難以發(fā)現(xiàn)和解決的攻擊。企業(yè)如何發(fā)現(xiàn)數(shù)據(jù)泄露 ? 啟用異常檢測(cè)工具、Darknet 監(jiān)控服務(wù)、信息被公開泄露、被勒索要求贖金等。

　　五、攻擊影響

諸如利潤(rùn)受損、聲譽(yù)損失、客戶補(bǔ)償、法律訴訟、客戶流失以及股價(jià)下跌等負(fù)面影響，并且修復(fù)公司聲譽(yù)受損的過程很長(zhǎng)，而且并不總是成功。

　　六、確保新興應(yīng)用程序開發(fā)框架的安全

快速增長(zhǎng)的應(yīng)用程序數(shù)量及其在多個(gè)環(huán)境中的分布需要進(jìn)行調(diào)整，一旦需要對(duì)應(yīng)用程序進(jìn)行更改，就會(huì)導(dǎo)致變化。幾乎不可能在所有環(huán)境中有效地部署和維護(hù)相同的安全策略。雖然 93% 的企業(yè)使用 Web 應(yīng)用程序防火墻 (WAF)，但只有三分之一使用的 WAF 結(jié)合了正面和負(fù)面的安全模型，以實(shí)現(xiàn)有效的應(yīng)用程序保護(hù)。在使用云服務(wù)器的受訪者中，有一半將數(shù)據(jù)保護(hù)評(píng)為大挑戰(zhàn)，其次是可用性保證、策略實(shí)施、身份驗(yàn)證和可見性。

其實(shí)，絕大多數(shù)企業(yè)對(duì)于其網(wǎng)站和應(yīng)用程序的安全性都存在盲目的自信，這是一種虛假的安全感。攻擊方式在不斷發(fā)展，安全措施并非萬無一失。擁有應(yīng)用程序安全工具和流程可以提供控制感，但它們很可能遲早會(huì)被破壞或繞過。另外，很多企業(yè)高管并不完全了解其日常事件。他們期待他們的內(nèi)部團(tuán)隊(duì)負(fù)責(zé)應(yīng)用程序安全性來管理問題，但他們對(duì)企業(yè)的應(yīng)用程序安全策略的有效性和實(shí)際風(fēng)險(xiǎn)暴露的看法之間似乎存在脫節(jié)。

本文標(biāo)題：?你的網(wǎng)站和應(yīng)用程序安全嗎
文章源于：http://www.muchs.cn/news25/266275.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護(hù)、網(wǎng)頁設(shè)計(jì)公司、服務(wù)器托管、營(yíng)銷型網(wǎng)站建設(shè)、建站公司、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)