Web攻击越发复杂,企业如何保护云上业务

news2024/12/27 0:17:05

如今,电子政务、电子商务、网上银行、网上营业厅等依托Web应用,为广大用户提供灵活多样的服务。在这之中,流量攻击堪称是Web应用的最大敌人,黑客通过流量攻击获取利益、竞争对手雇佣黑客发起恶意攻击、不法分子通过流量攻击瘫痪目标后勒索高额保护费,往往会对业务造成严重损害。

对于开发者和企业网站管理人员来说,数据爬取、暴力破解和撞库等Web攻击手段日益复杂,均需要建立强大且实时的防御能力,避免业务乃至企业因防护脆弱“失血过多”而死。部署WAF成为公认的最基础且有效的防御手段,但由于攻击手段的多样化和企业业务的复杂性,传统的本地部署WAF已经越来越难以发挥预想的防御效果。

传统防火墙的局限性

绝大多数人在谈到网络安全时,首先会想到“传统防火墙”。传统防火墙得到了广泛的部署,企业一般采用传统防火墙作为安全保障体系的第一道防线,防御黑客攻击。但是,随着攻击者的技术日趋成熟,攻击工具与手法的日趋复杂多样,单纯的传统防火墙已经无法满足Web应用防护的需求。传统防火墙的不足主要体现在:

(1)传统防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。设计之初,它就无需理解Web应用程序语言如HTML、XML,也无需理解HTTP会话。因此,它也很难对HTML应用程序用户端的输入进行验证、或是检测到一个已经被恶意修改过参数的URL请求。恶意的攻击流量将封装为HTTP请求,从80或443端口顺利通过传统防火墙检测。

(2)传统防火墙基于IP/端口,无法对Web应用层进行识别与控制,无法确定哪些Web应用经过了传统防火墙,自然就谈不上对各类威胁进行有效防御。面对Web应用层的攻击,传统防火墙显得力不从心,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如病毒、蠕虫、木马等。

(3)有一些定位比较综合、提供丰富功能的传统防火墙、也具备一定程度的应用层防御能力,但局限于最初产品的定位以及对Web应用攻击的研究深度不够,只能提供非常有限的Web应用防护,难以应对当前最大的安全威胁,如SQL注入、跨站脚本。对网页篡改、网页挂马这类紧迫问题,更是无能为力。

常见的Web攻击手段

Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码,修改网站权限,获取网站用户隐私信息等等。Web应用程序的安全性是任何基于Web业务的重要组成部分,确保Web应用程序安全十分重要,即使是代码中很小的 bug 也有可能导致隐私信息被泄露,站点安全就是为保护站点不受未授权的访问、使用、修改和破坏而采取的行为或实践

我们常见的Web攻击方式有:

一、SQL注入

  • Web应用未对用户提交的数据做过滤或者转义,导致后端数据库服务器执行了黑客提交的sql语句。黑客利用sql注入攻击可进行拖库、植入webshell,进而入侵服务器。

二、XSS跨站

  • Web应用未对用户提交的数据做过滤或者转义,导致黑客提交的javascript代码被浏览器执行。黑客利用xss跨站攻击,可以构造恶意蠕虫、劫持网站cookie、获取键盘记录、植入恶意挖矿js代码。

三、命令注入

  • Web应用未对用户提交的数据做过滤或者转义,导致服务器端执行了黑客提交的命令。黑客利用登入注入攻击,可以对服务器植入后门、直接反弹shell入侵服务器。

四、CSRF

  • Web应用对某些请求未对来源做验证,导致登录用户的浏览器执行黑客伪造的HTTP请求,并且应用程序认为是受害者发起的合法请求的请求。黑客利用CSRF攻击可以执行一些越权操作如添加后台管理员、删除文章等。

五、目录遍历

  • Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用目录遍历攻击,可获取服务器的配置文件,进而入侵服务器。

六、本地文件包含

  • Web应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用本地文件包含漏洞,可以获取服务器敏感文件、植入webshell入侵服务器。

七、远程文件包含

  • Web应用未对用户提交的文件名做过滤或者转义,导致引入远程的恶意文件。黑客利用远程文件包含漏洞,可以加载远程的恶意文件,导致恶意代码执行、获取服务器的权限。

八、木马后门

  • Web应用未对用户提交的数据做过滤或者转义,导致木马代码执行。黑客利用木马后门攻击,可以入侵服务器。

九、缓冲区溢出

  • http协议未对请求头部做字节大小限制,导致可以提交大量数据因此可能导致恶意代码被执行。

十、文件上传

  • Web应用未对文件名后缀,上传数据包是否合规,导致恶意文件上传。文件上传攻击,将包含恶意代码的文件上传到服务器,最终导致服务器被入侵。

十一、扫描器扫描

  • 黑客利用漏洞扫描器扫描网站,可以发现web应用存在的漏洞,最终利用相关漏洞攻击网站。

十二、高级爬虫

  • 爬虫自动化程度较高可以识别setcookie等简单的爬虫防护方式。

十三、常规爬虫

  • 爬虫自动化程度较低,可以利用一些简单的防护算法识别,如setcookie的方式。

十四、敏感信息泄露

  • web应用过滤用户提交的数据导致应用程序抛出异常,泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站

十五、服务器错误

  • Web应用配置错误,导致服务器报错从而泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站。

十六、非法文件下载

  • Web应用未对敏感文件(密码、配置、备份、数据库等)访问做权限控制,导致敏感文件被下载,黑客利用下载的敏感文件可以进一步攻击网站。

十七、第三方组件漏洞

  • Web应用使用了存在漏洞的第三方组件,导致网站被攻击。

十八、XPATH注入

  • Web应用在用xpath解析xml时未对用户提交的数据做过滤,导致恶意构造的语句被xpath执行。黑客利用xpath注入攻击,可以获取xml文档的重要信息。

十九、XML注入

  • Web应用程序使用较早的或配置不佳的XML处理器解析了XML文档中的外部实体引用,导致服务器解析外部引入的xml实体。黑客利用xml注入攻击可以获取服务器敏感文件、端口扫描攻击、dos攻击。

二十、LDAP注入防护

  • Web应用使用ldap协议访问目录,并且未对用户提交的数据做过滤或转义,导致服务端执行了恶意ldap语句,黑客利用ldap注入可获取用户信息、提升权限。

二十一、SSI注入

  • Web服务器配置了ssi,并且html中嵌入用户输入,导致服务器执行恶意的ssi命令。黑客利用ssi注入可以执行系统命令。

二十二、Webshell

  • 黑客连接尝试去连接网站可能存在的webshell,黑客可能通过中国菜刀等工具去连接webshell入侵服务器。

二十三、暴力破解

  • 黑客在短时间内大量请求某一url尝试猜解网站用户名、密码等信息,黑客利用暴力破解攻击,猜解网站的用户名、密码,可以进一步攻击网站。

二十四、非法请求方法

  • Web应用服务器配置允许put请求方法请求,黑客可以构造非法请求方式上传恶意文件入侵服务器。

二十五、撞库

  • Web应用对用户登入功能没做验证码验证,黑客可以借助工具结合社工库去猜网站用户名及密码。

二十六、固定会话

  • Web应用使用固定的cookie会话,导致cookie劫持。

二十七、IP[黑名单]

  • 某一被确认为恶意ip,被waf拉黑后,所有请求都会被拦截

二十八、动态IP黑名单

  • 某一ip发送了较多攻击请求,会被waf自动拉黑一段时间,该时间段内所有的请求都被拦截。

针对网站的攻击有多种形式,攻击者既可以是业余黑客,也会是协同作战的职业黑客团伙。最关键的一条建议,就是在创建或运营网站时不要跳过安全功能,因为跳过安全设置可能会造成严重后果

德迅Web防火墙(安全WAF)

Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

Web应用防火墙(WAF)帮助您轻松应对各类Web应用攻击,确保网站的Web安全与可用性。WAF使用核心攻防和大数据能力来驱动Web安全,具体支持以下功能:

(1)Web入侵防护

  • 自动防护漏洞0day web应用漏洞小时级自动防御,无需人工打补丁

  • 多重动态防御自研规则+AI深度学习+主动防御,搭配不断更新的全网威胁情报,扫除防御死角

  • 防扫描及探测根据扫描及探测的特征和行为,配合全网威胁情报、深度学习算法进行自动拦截,避免黑客发现可利用的系统弱点

  • 防护规则可自定义可根据业务实际需求,灵活自定义防护规则

(2)流量管理和爬虫防控

  • 灵活的流量管理功能支持对全量HTTP header和body特征进行自定义组合,从而实现满足业务个性化需求的访问控制和限速要求

  • CC攻击防护基于不同等级的默认防护策略及灵活的精准访问控制和限速策略,配合人机识别、封禁等处置手段有效缓解CC攻击(HTTP Flood

  • 精准识别爬虫基于指纹、行为、特征、情报等多维度数据,配合AI智能,精准识别爬虫并自动应对爬虫变异

  • 全场景防控适用于网站、H5、APP、小程序等各类型Web业务的爬虫风险防控,帮助企业防控业务作弊、薅羊毛等业务风险

  • 丰富的爬虫处置手段可根据实际业务场景需求,对流量进行包括拦截、人机识别、限流、欺骗等处置手段

  • 场景化配置场景化配置引导,帮助0经验快速上手德迅最佳实践

(3)数据安全防控

  • 保护API安全主动发现存在老旧、缺乏鉴权、数据过度暴露、敏感信息泄露等风险的API接口

  • 防敏感信息泄露检测并防护身份证、银行卡、手机号、敏感词等敏感信息泄露

  • 防页面篡改通过锁定重点页面的内容,保证即使页面被篡改,也能通过返回缓存的方式保证用户看到的页面内容不变

  • 检测账户风险自动识别撞库、暴力破解、弱口令等常见账号风险

(4)安全运维与合规

  • 安全接入一键实现HTTPS、全链路IPv4、智能负载均衡、高可用和快速容灾

  • 全量访问日志记录和存储全量Web访问日志,支持实时SQL查询分析和自定义告警

  • 自动化资产识别基于大数据,全面发现未接入防护的域名资产,收敛攻击面

  • 满足等保合规满足各行业等保合规需求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1571097.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[VulnHub靶机渗透] pWnOS 2.0

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~ ✨主攻领域:【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 🎉点赞➕评论➕收…

TiDB 实战分享丨第三方支付企业的核心数据库升级之路

本文介绍了一家第三方支付企业在面对市场竞争和监管压力的态势下,通过升级核心数据库来提升业务能力的实践。该企业选择 TiDB 分布式数据库,成功将其应用于核心业务、计费、清结算和交易查询等关键系统。TiDB 的水平扩展能力、高可用性和简化数据栈等优势…

交叉验证(Cross-Validation)

交叉验证的基本概念 交叉验证通常用于评估机器学习模型在未知数据上的性能。它将数据集分成k个不同的子集,然后进行k次训练和验证。在每次迭代中,选择一个子集作为测试集,其余的子集作为训练集。这样,每个子集都用作过测试集&…

二、计算机网络体系结构参考模型

一、分层结构 (一)为什么要分层: 发送文件/数据前要完成的工作: 1)发起通信的计算机必须讲数据通信通路进行激活 2)要告诉网络如何识别目的主机 3)发起通信的计算机要查明目的主机是否开机、并且…

实时渲染 -- 体素化(Voxelization)

我们之前讨论的大部分问题都是关于面表示的。由于这些方法不需要显式地表示物体的内部空间,所以非常高效。 体建模方法表示的是实体而不是表面。使用体模型可以产生更丰富的仿真效果,如物体的运动学行为和半透明光照效果。 一、有限元模型 有限元模型…

升级一下电脑,CPU换I5-14600K,主板换华硕B760M

刚给自己电脑升级了一下,CPU从 AMD R5 5600X 换成 Intel I5-14600K,主板换成了华硕的 TUF GAMING B760M-PLUS WIFI D4。 因为我现有的两根内存是DDR4的,所有我选了个支持DDR4内存的主板。 我发现用AMD处理器时将系统从Win10升级到Win11后变…

关于Linux系统中使用Kazam录制的视频在Win系统中无法播放的问题解决办法

今天在linux系统【ubuntu】中录制了一段视频,想要在win系统中进行剪辑,但是发现无法打开,使用的是Kazam录制的mp4格式视频。 Kazam录制安装与使用方式: 安装方式——linux终端输入: sudo apt-get install kazam使用…

04---webpack编写可维护的构建配置

01 构建配置抽离成npm包; 意义:通用性: 业务开发者无需关注构建配置 统一团队构建脚本可维护性:构建配置合理的拆分 质量:冒烟测试 单元测试 持续集成构建配置管理的可选方案:1 通过多个配置文件管理不同…

Android模拟器Android Emulator进行快照snapshot保存时问题

在用Android Emulator进行快照保存时出现问题,不能保存快照,并提示 current state is not support snapshot。 在网上查找了一圈,发现没有针对这个问题的方案,比较接近的方案都是eclipse年代的,说要进行enable snaps…

刷题之Leetcode27题(超级详细)

27. 移除元素 力扣题目链接(opens new window)https://leetcode.cn/problems/remove-element/ 给你一个数组 nums 和一个值 val,你需要 原地 移除所有数值等于 val 的元素,并返回移除后数组的新长度。 不要使用额外的数组空间,你必须仅使用…

可以写网易云的了!

你好,我是云桃桃。 一个希望帮助更多朋友快速入门 WEB 前端的程序媛。 1枚程序媛,大专生,2年时间从1800到月入过万,工作5年买房。 分享成长心得。 259篇原创内容-gzh 后台回复“前端工具”可获取开发工具,持续更新中…

苍穹外卖Day04套餐管理部分总结

写给像我一样完完全全的小白的。本人代码水平一塌糊涂,前几天就是机械地跟着视频敲代码。对于Day04的作业本来感觉代码抓瞎一点不会写,尽力去理解业务逻辑后发现好像也没那么难,整体代码可以仿照Day03新增菜品来进行实现! 一、功…

scratch寻找好朋友 2024年3月中国电子学会 图形化编程 scratch编程等级考试二级真题和答案解析

目录 scratch寻找好朋友 一、题目要求 1、准备工作 2、功能实现 二、案例分析 1、角色分析 2、背景分析 3、前期准备 三、解题思路 1、思路分析 2、详细过程 四、程序编写 五、考点分析 六、推荐资料 1、入门基础 2、蓝桥杯比赛 3、考级资料 4、视频课程 5、…

如何在Linux中安装软件

文章目录 一、Linux应用程序基础1.Linux软件安装包分类2.应用程序和系统命令的关系3.常见的软件包的封装类型 二、安装软件的方式1.RPM包管理工具2.yum安装3.编译 一、Linux应用程序基础 1.Linux软件安装包分类 Linux源码包: 实际上,源码包就是一大堆源…

Spring/SpringBoot/SpringCloud Mybatis 执行流程

在后续分析Mybatis 流程中代码的可能会用到IDEA debug 技巧: 条件断点 代码断点,右键 勾选弹窗 Condition : 写入表达式 回到上一步: Java动态代理实现 InvocationHandler接口: package com.lvyuanj.core.test;…

MAX7219驱动数码管学习记录(有源码)

一、7219datasheet阅读 1.引脚定义: 重点介绍5个引脚 1.DIN: 串行数据总线输入引脚,每个时钟的上升沿将数据移入至芯片内部的移位寄存器中 2.DIG0-DIG7: 共阴极管的GND连接的便是DIG0-7,该引脚起作用时,便输出低电平&#xff0c…

SSM学习——Spring JDBC

Spring JDBC 概念 Spring的JDBC模块负责数据库资源管理和错误处理,简化了开发人员对数据库的操作。 Spring JDBC通过配置数据源和JDBC模板来配置。 针对数据库操作,Spring框架提供了JdbcTemplate类,它是Spring框架数据抽象层的基础&#…

【学习】渗透测试有哪些重要性

随着信息技术的迅猛发展,网络安全问题日益凸显。渗透测试作为网络安全防御的重要手段之一,旨在模拟黑客攻击,发现并修复潜在的安全漏洞,提高网络系统的安全性。本文将介绍渗透测试的概念、重要性、实施步骤及实践案例,…

echarts快速入门

文章目录 一、echarts下载1.1、下载说明1.2、使用说明 二、绘制一个简单图表 一、echarts下载 echarts是百度研发团队开发的一款报表视图JS插件,功能十分强大,可在echart官网下载源码(一个echarts.min.js文件)进行使用。 1.1、…

Star GAN论文解析

论文地址:https://arxiv.org/pdf/1912.01865v1.pdf https://openaccess.thecvf.com/content_cvpr_2018/papers/Choi_StarGAN_Unified_Generative_CVPR_2018_paper.pdf 源码:stargan项目实战及源码解读-CSDN博客 1. 概述 在传统方法中&#x…