Web攻击越发复杂,企业如何保护云上业务

如今,电子政务、电子商务、网上银行、网上营业厅等依托Web应用,为广大用户提供灵活多样的服务。在这之中,流量攻击堪称是Web应用的最大敌人,黑客通过流量攻击获取利益、竞争对手雇佣黑客发起恶意攻击、不法分子通过流量攻击瘫痪目标后勒索高额保护费,往往会对业务造成严重损害。

对于开发者和企业网站管理人员来说,数据爬取、暴力破解和撞库等Web攻击手段日益复杂,均需要建立强大且实时的防御能力,避免业务乃至企业因防护脆弱“失血过多”而死。部署WAF成为公认的最基础且有效的防御手段,但由于攻击手段的多样化和企业业务的复杂性,传统的本地部署WAF已经越来越难以发挥预想的防御效果。

传统防火墙的局限性

绝大多数人在谈到网络安全时,首先会想到“传统防火墙”。传统防火墙得到了广泛的部署,企业一般采用传统防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者的技术日趋成熟,攻击工具与手法的日趋复杂多样,单纯的传统防火墙已经无法满足Web应用防护的需求。传统防火墙的不足主要体现在:

(1)传统防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。设计之初,它就无需理解Web应用程序语言如HTML、XML,也无需理解HTTP会话。因此,它也很难对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。恶意的攻击流量将封装为HTTP请求,从80或443端口顺利通过传统防火墙检测。

(2)传统防火墙基于IP/端口,无法对Web应用层进行识别与控制,无法确定哪些Web应用经过了传统防火墙,自然就谈不上对各类威胁进行有效防御。面对Web应用层的攻击,传统防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。

(3)有一些定位比较综合、提供丰富功能的传统防火墙、也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对Web应用攻击的研究深度不够,只能提供非常有限的Web应用防护,难以应对当前最大的安全威胁,如SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题,更是无能为力。

常见的Web攻击手段

Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码,修改网站权限,获取网站用户隐私信息等等。Web应用程序的安全性是任何基于Web业务的重要组成部分,确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露,站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践

我们常见的Web攻击方式有:

一、SQL注入

  • Web应用未对用户提交的数据做过滤或者转义,导致后端数据库服务器执行了黑客提交的sql语句。黑客利用sql注入攻击可进行拖库、植入webshell,进而入侵服务器。

二、XSS跨站

  • Web应用未对用户提交的数据做过滤或者转义,导致黑客提交的javascript代码被浏览器执行。黑客利用xss跨站攻击,可以构造恶意蠕虫、劫持网站cookie、获取键盘记录、植入恶意挖矿js代码。

三、命令注入

  • Web应用未对用户提交的数据做过滤或者转义,导致服务器端执行了黑客提交的命令。黑客利用登入注入攻击,可以对服务器植入后门、直接反弹shell入侵服务器。

四、CSRF

  • Web应用对某些请求未对来源做验证,导致登录用户的浏览器执行黑客伪造的HTTP请求,并且应用程序认为是受害者发起的合法请求的请求。黑客利用CSRF攻击可以执行一些越权操作如添加后台管理员、删除文章等。

五、目录遍历

  • Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用目录遍历攻击,可获取服务器的配置文件,进而入侵服务器。

六、本地文件包含

  • Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用本地文件包含漏洞,可以获取服务器敏感文件、植入webshell入侵服务器。

七、远程文件包含

  • Web应用未对用户提交的文件名做过滤或者转义,导致引入远程的恶意文件。黑客利用远程文件包含漏洞,可以加载远程的恶意文件,导致恶意代码执行、获取服务器的权限。

八、木马后门

  • Web应用未对用户提交的数据做过滤或者转义,导致木马代码执行。黑客利用木马后门攻击,可以入侵服务器。

九、缓冲区溢出

  • http协议未对请求头部做字节大小限制,导致可以提交大量数据因此可能导致恶意代码被执行。

十、文件上传

  • Web应用未对文件名后缀,上传数据包是否合规,导致恶意文件上传。文件上传攻击,将包含恶意代码的文件上传到服务器,最终导致服务器被入侵。

十一、扫描器扫描

  • 黑客利用漏洞扫描器扫描网站,可以发现web应用存在的漏洞,最终利用相关漏洞攻击网站。

十二、高级爬虫

  • 爬虫自动化程度较高可以识别setcookie等简单的爬虫防护方式。

十三、常规爬虫

  • 爬虫自动化程度较低,可以利用一些简单的防护算法识别,如setcookie的方式。

十四、敏感信息泄露

  • web应用过滤用户提交的数据导致应用程序抛出异常,泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站

十五、服务器错误

  • Web应用配置错误,导致服务器报错从而泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站。

十六、非法文件下载

  • Web应用未对敏感文件(密码、配置、备份、数据库等)访问做权限控制,导致敏感文件被下载,黑客利用下载的敏感文件可以进一步攻击网站。

十七、第三方组件漏洞

  • Web应用使用了存在漏洞的第三方组件,导致网站被攻击。

十八、XPATH注入

  • Web应用在用xpath解析xml时未对用户提交的数据做过滤,导致恶意构造的语句被xpath执行。黑客利用xpath注入攻击,可以获取xml文档的重要信息。

十九、XML注入

  • Web应用程序使用较早的或配置不佳的XML处理器解析了XML文档中的外部实体引用,导致服务器解析外部引入的xml实体。黑客利用xml注入攻击可以获取服务器敏感文件、端口扫描攻击、dos攻击。

二十、LDAP注入防护

  • Web应用使用ldap协议访问目录,并且未对用户提交的数据做过滤或转义,导致服务端执行了恶意ldap语句,黑客利用ldap注入可获取用户信息、提升权限。

二十一、SSI注入

  • Web服务器配置了ssi,并且html中嵌入用户输入,导致服务器执行恶意的ssi命令。黑客利用ssi注入可以执行系统命令。

二十二、Webshell

  • 黑客连接尝试去连接网站可能存在的webshell,黑客可能通过中国菜刀等工具去连接webshell入侵服务器。

二十三、暴力破解

  • 黑客在短时间内大量请求某一url尝试猜解网站用户名、密码等信息,黑客利用暴力破解攻击,猜解网站的用户名、密码,可以进一步攻击网站。

二十四、非法请求方法

  • Web应用服务器配置允许put请求方法请求,黑客可以构造非法请求方式上传恶意文件入侵服务器。

二十五、撞库

  • Web应用对用户登入功能没做验证码验证,黑客可以借助工具结合社工库去猜网站用户名及密码。

二十六、固定会话

  • Web应用使用固定的cookie会话,导致cookie劫持。

二十七、IP[黑名单]

  • 某一被确认为恶意ip,被waf拉黑后,所有请求都会被拦截

二十八、动态IP黑名单

  • 某一ip发送了较多攻击请求,会被waf自动拉黑一段时间,该时间段内所有的请求都被拦截。

针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果

德迅Web防火墙(安全WAF)

Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

Web应用防火墙(WAF)帮助您轻松应对各类Web应用攻击,确保网站的Web安全与可用性。WAF使用核心攻防和大数据能力来驱动Web安全,具体支持以下功能:

(1)Web入侵防护

  • 自动防护漏洞0day web应用漏洞小时级自动防御,无需人工打补丁

  • 多重动态防御自研规则+AI深度学习+主动防御,搭配不断更新的全网威胁情报,扫除防御死角

  • 防扫描及探测根据扫描及探测的特征和行为,配合全网威胁情报、深度学习算法进行自动拦截,避免黑客发现可利用的系统弱点

  • 防护规则可自定义可根据业务实际需求,灵活自定义防护规则

(2)流量管理和爬虫防控

  • 灵活的流量管理功能支持对全量HTTP header和body特征进行自定义组合,从而实现满足业务个性化需求的访问控制和限速要求

  • CC攻击防护基于不同等级的默认防护策略及灵活的精准访问控制和限速策略,配合人机识别、封禁等处置手段有效缓解CC攻击(HTTP Flood

  • 精准识别爬虫基于指纹、行为、特征、情报等多维度数据,配合AI智能,精准识别爬虫并自动应对爬虫变异

  • 全场景防控适用于网站、H5、APP、小程序等各类型Web业务的爬虫风险防控,帮助企业防控业务作弊、薅羊毛等业务风险

  • 丰富的爬虫处置手段可根据实际业务场景需求,对流量进行包括拦截、人机识别、限流、欺骗等处置手段

  • 场景化配置场景化配置引导,帮助0经验快速上手德迅最佳实践

(3)数据安全防控

  • 保护API安全主动发现存在老旧、缺乏鉴权、数据过度暴露、敏感信息泄露等风险的API接口

  • 防敏感信息泄露检测并防护身份证、银行卡、手机号、敏感词等敏感信息泄露

  • 防页面篡改通过锁定重点页面的内容,保证即使页面被篡改,也能通过返回缓存的方式保证用户看到的页面内容不变

  • 检测账户风险自动识别撞库、暴力破解、弱口令等常见账号风险

(4)安全运维与合规

  • 安全接入一键实现HTTPS、全链路IPv4、智能负载均衡、高可用和快速容灾

  • 全量访问日志记录和存储全量Web访问日志,支持实时SQL查询分析和自定义告警

  • 自动化资产识别基于大数据,全面发现未接入防护的域名资产,收敛攻击面

  • 满足等保合规满足各行业等保合规需求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/794521.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

约数与倍数-第12届蓝桥杯选拔赛Python真题精选

[导读]:超平老师的Scratch蓝桥杯真题解读系列在推出之后,受到了广大老师和家长的好评,非常感谢各位的认可和厚爱。作为回馈,超平老师计划推出《Python蓝桥杯真题解析100讲》,这是解读系列的第45讲。 约数与倍数&#…

用html写一个爱心

<!DOCTYPE html> <html lang"zh-CN"><head><meta http-equiv"Content-Type" content"text/html; charsetUTF-8" /><title>爱您</title><style>* {padding: 0;margin: 0;}body {background-color: pin…

【软件测试】测试常见知识点汇总

测试常见知识点汇总 一、什么是测试1.1 测试和调试的区别1.2 什么是需求1.2.1 用户需求1.2.2 软件需求 1.3 测试用例要素1.4 软件的生命周期及各阶段概述1.5 开发模型和测试模型&#xff08;记住特点和适用场景&#xff09;1.5.1 开发模型1.5.1.1 瀑布模型&#xff08;自上而下…

armlinux-外部中断

s3c2440的中断框图 如果我们单纯配置一个按键的外部中断&#xff0c;就不存在子中断与优先级的问题。 由于是按键的外部中断&#xff0c;通过引脚的高低电平来触发。所以我们要先配置引脚的功能。 我们使用按键1&#xff0c;终端源为EINT8&#xff0c;对应引脚GPG0 通过用户手…

java中大型医院HIS系统源码 Angular+Nginx+SpringBoot云HIS运维平台源码

java中大型医院HIS系统源码 AngularNginxSpringBoot云HIS运维平台源码 云HIS系统是一款满足基层医院各类业务需要的健康云产品。该产品能帮助基层医院完成日常各类业务&#xff0c;提供病患预约挂号支持、病患问诊、电子病历、开药发药、会员管理、统计查询、医生工作站和护士工…

响应跨域的两种方式

第一种&#xff1a; Configuration public class CorsConfication {Beanpublic CorsWebFilter corsWebFilter() {UrlBasedCorsConfigurationSource source new UrlBasedCorsConfigurationSource();CorsConfiguration corsConfiguration new CorsConfiguration();//1、配置跨…

(源码+部署+讲解)基于Spring Boot和Vue的大学生快递代取服务平台的设计与实现

一、引言 本报告旨在详细阐述基于Spring Boot后端框架和Vue前端框架的大学生快递代取服务平台的设计与实现过程。该平台旨在为大学生提供便捷的快递代取服务&#xff0c;解决因时间冲突或距离过远而无法及时取件的问题。通过该平台&#xff0c;用户可以发布代取需求&#xff0c…

4核8G服务器配置性能怎么样?4核8G12M配置服务器能干啥?

腾讯云4核8G服务器多少钱&#xff1f;腾讯云4核8G轻量应用服务器12M带宽租用价格646元15个月&#xff0c;活动页面 txybk.com/go/txy 活动链接打开如下图所示&#xff1a; 腾讯云4核8G服务器优惠价格 这台4核8G服务器是轻量应用服务器&#xff0c;详细配置为&#xff1a;轻量4核…

【SQL Server】1. 认识+使用

1. 创建数据库的默认存储路径 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft SQL Server 2008 R2 当我们选择删除数据库时&#xff0c;对应路径下的文件也就删除了 2. 导入导出数据工具的路径 3. 注册数据库遇到的问题 ??? 目前的问题就是服务器新建…

(源码+部署+讲解)基于Spring Boot和Vue的宠物领养系统的设计与实现

一、引言 本报告旨在详细描述基于Spring Boot后端框架和Vue前端框架的宠物领养系统的设计与实现过程。宠物领养系统旨在为宠物主人和领养者提供一个便捷的平台&#xff0c;实现宠物的信息发布、领养申请、信息管理等功能。通过该系统&#xff0c;宠物主人可以快速找到适合的领养…

c语言数据结构(10)——冒泡排序、快速排序

欢迎来到博主的专栏——C语言数据结构 博主ID&#xff1a;代码小豪 文章目录 冒泡排序冒泡排序的代码及原理快速排序快速排序的代码和原理快速排序的其他排序方法非递归的快速排序 冒泡排序 相信冒泡排序是绝大多数计科学子接触的第一个排序算法。作为最简单、最容易理解的排序…

【保姆级讲解如何安装与配置Node.js】

&#x1f3a5;博主&#xff1a;程序员不想YY啊 &#x1f4ab;CSDN优质创作者&#xff0c;CSDN实力新星&#xff0c;CSDN博客专家 &#x1f917;点赞&#x1f388;收藏⭐再看&#x1f4ab;养成习惯 ✨希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出…

【JAVA】postman import certificates in project 导入证书pfx

1. 打开这个按钮 2. File ->Settings 3. 打开“certificates”, Add certificates 添加证书 4. 输入证书地址&#xff0c;然后选择证书文件pfx , 输入证书密码。点击添加就可以了。 特别提醒&#xff1a; 推荐本地自己证书验证软件&#xff0c;“KeyStore” 这个软件可以…

接口调用成功后端却一直返回404

vuespringboot 我在vue.config.js中配置了向后端的反向代理 然后使用了axios向后端发送post请求 可以看到可以接收到前端传来的值 但是前端控制台却报了 “xhr.js:245POST http://localhost:7777/api/login 404 (Not Found)” 最后询问我那智慧的堂哥... ... 解决办法是把C…

深入了解 Python 中标准排序算法 Timsort

&#x1f349; CSDN 叶庭云&#xff1a;https://yetingyun.blog.csdn.net/ Timsort&#xff1a;一个非常快速的、时间复杂度为 O ( n l o g n ) O (n \ log\ n) O(n log n)、稳健&#xff08;即不改变等值元素间的相对顺序&#xff09;的排序算法&#xff0c;在处理真实世界数…

RDD算子(四)、血缘关系、持久化

1. foreach 分布式遍历每一个元素&#xff0c;调用指定函数 val rdd sc.makeRDD(List(1, 2, 3, 4)) rdd.foreach(println) 结果是随机的&#xff0c;因为foreach是在每一个Executor端并发执行&#xff0c;所以顺序是不确定的。如果采集collect之后再调用foreach打印&#xf…

SpringMVC --- 老杜

1、什么是SpringMVC&#xff1f; SpringMVC是一个基于Java实现了MVC设计模式的请求驱动类型的轻量级Web框架&#xff0c;通过把Model&#xff0c;View&#xff0c;Controller分离&#xff0c;将web层进行职责解耦&#xff0c;把复杂的web应用分成逻辑清晰的及部分&#xff0c;…

Adobe Bridge 2024:连接创意,探索无限可能 mac/win版

Adobe Bridge 2024&#xff0c;作为Adobe家族中的一款强大的创意管理工具&#xff0c;再次革新了数字资产管理和工作流程优化的标准。这款软件不仅继承了Adobe Bridge一贯的直观界面和强大功能&#xff0c;更在多个方面进行了突破性的改进。 Bridge 2024软件获取 全面的资源管…

内网穿透的应用-如何在Android Termux上部署MySQL数据库并实现无公网IP远程访问

文章目录 前言1.安装MariaDB2.安装cpolar内网穿透工具3. 创建安全隧道映射mysql4. 公网远程连接5. 固定远程连接地址 前言 Android作为移动设备&#xff0c;尽管最初并非设计为服务器&#xff0c;但是随着技术的进步我们可以将Android配置为生产力工具&#xff0c;变成一个随身…

labview如何创建2D多曲线XY图和3D图

1如何使用labview创建2D多曲线图 使用“索引与捆绑簇数组”函数将多个一维数组捆绑成一个簇的数组&#xff0c;然后将结果赋值给XY图&#xff0c;这样一个多曲线XY图就生成了。也可以自己去手动索引&#xff0c;手动捆绑并生成数组&#xff0c;结果是一样的 2.如何创建3D图 在…