主页 > 网站优化 > Web安全风险与常见攻击手段,你必须了解的几点!

Web安全风险与常见攻击手段,你必须了解的几点!

Web 已经在企业信息化、电子商务、电子政务中等得到广泛的应用,Web 的迅速发展同时,也带来了众多的安全威胁。

网络攻击重心已转向应用层, Web 已成为黑客首选攻击目标, 针对 Web 的攻击和破坏不断增长,据高盛统计数据表明,75% 的攻击是针对 Web 应用的

然而,对于 Web 应用安全领域,很多企业还没有充分的认识、没有做好准备;许多开发人员也没有相应的经验,这给了黑客可乘之机。

Web 安全现状

1

Web 安全风险与趋势

最新发布的白帽 Web 安全统计报告显示,接受抽样调查网站达 3 万余个,负责撰写报告的首席研究员 Gabriel Gumbs 指出:没有哪一种开发语言或平台有着明显的安全性优势,从漏洞数量来看,大量网站使用的不同的开发语言之间并没有太大的差异,几个主要开发平台的漏洞数量基本处于同一个数量级

2018 年夏季互联网发展状况安全报告关于 Web 攻击的报告指出,Web 攻击平均每天发生次数在 10 兆次左右,最高可到达 16 兆次以上;同时使用最广泛的攻击方式仍然集中在 SQL 注入、XSS、文件包含;在该报告覆盖的时间范围内,俄罗斯、中国和印度尼西亚是对旅游行业进行撞库攻击的主要来源国,其中半数的撞库活动都指向酒店、游轮公司、航空公司和旅游网站。中国和俄罗斯针对酒店行业和旅游行业的攻击流量加起来是来自美国的攻击流量的三倍。

通过入侵 Web 站点而产生的信息泄露事件越来越多。在网络大互联的今天,所有人都有各种私人敏感信息存留在网络中,而其中最多的又是用户自行在网站上注册并记录的,这也就给了黑客一个非常大的驱动力,窃取用户数据贩卖至黑产,使用户信息流向电话推销、电信诈骗等渠道。

2

Web 攻击的常见目的

  • 恶作剧;
  • 关闭 Web 站点,拒绝正常服务;
  • 篡改 Web 网页,损害企业名誉;
  • 免费浏览收费内容;
  • 盗窃用户隐私信息,例如 Email;
  • 以用户身份登录执行非法操作,从而获取暴利;
  • 以此为跳板攻击企业内网其他系统;
  • 网页挂木马,攻击访问网页的特定用户群;
  • 仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等;

3

Web 攻击常见模式

Web 安全术语

1

后门

  • 绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。

2

Webshell

  • Webshell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的一种命令执行环境,也可以将其称作为一种网页后门

3

0day漏洞

  • 通常是指还没有补丁的漏洞。也就是说官方还没有发现或者是发现了还没有开发出安全补丁的漏洞。

4

Exploit

  • 简称 exp,漏洞利用

5

提权

  • 提高自己在服务器中的权限,主要针对网站入侵过程中,当入侵某一网站时,通过各种漏洞提升 Webshell 权限以夺得该服务器权限。

6

跳板

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!