10 种常见的网站安全攻击

2023年Verizon数据泄露调查报告揭示了一个令人震惊的事实:基本的Web应用攻击占到了全部数据泄露案例的近四分之一。尽管这些攻击并非最复杂,但像凭据填充和SQL注入这类常见网络攻击仍在网络安全领域造成巨大破坏——就像网络钓鱼和新兴的基于AI的攻击一样。根据该报告,弱密码是这些低级攻击成功的主要原因。

无论出于何种原因,这10种类型的网络攻击极为常见,尽管我们已经拥有众多不断进步的工具,但这些问题仍旧会不断出现。

10 种常见的Web攻击

1. 跨站点脚本

跨站点脚本 (XSS) 攻击诱骗浏览器将恶意客户端脚本传送到受害者的浏览器,一旦接收,该浏览器将自动执行该脚本。恶意软件可以:

  • 外泄数据
  • 安装恶意软件
  • 将用户重定向到欺骗网站

防止 XSS 攻击就像清理数据输入一样简单。考虑拒绝特殊字符或符号,避免代码注入。未经检查的跨站点脚本攻击可能导致会话劫持、表单作劫持和服务器端请求伪造攻击。

2. SQL 注入攻击

SQL 注入攻击是过去十年中最常见的 Web 攻击之一,允许攻击者破坏服务器的 Cookie、Web 表单或 HTTP 帖子,以从数据库中提取数据。他们利用输入字段并注入恶意脚本,旨在诱骗服务器提供未经授权的敏感数据库信息。

防止 SQL 注入攻击需要对数据输入保持相同的严格性,并且需要通过 SQL 命令允许的一组有限的函数。

3. 身份验证失效

Verizon 2022 DBIR 指出,67% 的数据泄露是由于凭据泄露造成的。失效的身份验证或任何类型的基于登录的非法访问。可以通过多种方式执行:

  • 蛮力
  • 撞库
  • 字典攻击

防止破解身份验证攻击可以设置超级安全的密码,或者使用多重身份验证(MFA) 。

4. 偷渡式下载

当用户访问网站并且恶意代理自动下载到受害者的计算机上时,就会发生偷渡式下载。当用户正在下载其他内容或打开电子邮件、单击弹出窗口或仅访问页面时,可能会发生这种情况。

由于偷渡式攻击利用了应用程序、浏览器和系统中的潜在安全漏洞,因此保持环境为最新状态非常重要。限制安装的Web 插件和应用程序的数量也可以减少攻击面。

5. 基于密码的攻击

基于密码的攻击列表多种多样,包括:

  • 凭证转储(窃取 RAM 以获取密钥)
  • 暴力破解(系统地猜出正确的密码)
  • 撞库(使用已知凭证登录一系列其他账户)
  • 传递哈希(PtH)技术(窃取哈希凭证并利用凭证创建新的经过身份验证的会话)

实施代码签名、实施强密码要求、设置 MFA 并按照最小权限原则进行作,将减少基于密码的攻击的可能性。

6. 模糊测试

模糊测试工作原理是最初将大量随机数据 (fuzz) 输入应用程序以使其崩溃。下一步是使用模糊软件工具来识别弱点。如果目标存在漏洞,攻击者可以进一步进行利用。

对抗模糊测试攻击的有效方法是及时监控并打好补丁,使应用程序保持最新版本状态,使用静态测试等工具提前发现并修复应用程序中的安全漏洞,减少被利用的攻击面。

7. 使用具有已知漏洞的组件

现如今软件通常是许多独立部分的组合,且位于漫长的软件供应链末端。因此,隐藏在下游依赖项中或开源代码存储库遗留的漏洞可能会导致终端遭到入侵。

许多公司在合作之前会审查其第三方供应商的安全合规性,来避免这种情况,并依靠代码签名、质量控制策略和内部威胁检测来避免或降低将安全漏洞引入组织当中。

8. DDoS(分布式拒绝服务)

DDoS 攻击旨在通过请求淹没目标的 Web 服务器,使其他访问者无法访问该网站。僵尸网络通常会创建大量请求,这些请求分布在以前受感染的计算机中。此外,这些类型的 Web 攻击通常与其他方法一起使用,前者的目标是在利用漏洞的同时分散安全系统的注意力。

免受 DDoS 攻击通常是多方面的:

首先,需要使用内容分发网络 (CDN)、负载均衡器和可扩展资源来缓解峰值流量。

其次,需要部署 Web 应用程序防火墙(WAF),以防 DDoS 攻击隐藏了另一种网络攻击方法,例如注入或 XSS。

9. MiTM (中间人)

中间人攻击发生在数据从用户传输到服务器的过程中,尤其未加密其数据的网站中很常见。攻击者在数据在两方之间传输时拦截数据。如果数据未加密,攻击者可以轻松读取传输的个人、登录或其他敏感详细信息。

缓解中间人攻击的一种简单方法是在站点上安装SSL证书。此证书对各方之间的所有信息进行加密。

10. 目录遍历

目录(或路径)遍历攻击以 Web 根文件夹为目标,以访问目标文件夹之外未经授权的文件或目录。攻击者试图在 server 目录中注入移动模式,以便在层次结构中向上移动。

成功的路径遍历可能会危及:

  • 访问网站
  • 配置文件
  • 数据库
  • 同一物理服务器上的其他网站和文件。

输入清理可以保护网站免受路径遍历攻击。这意味着确保用户的输入安全且无法从服务器恢复。这里最直接的建议是构建代码库,以便来自用户的任何信息都不会传递到文件系统 API。

参读链接:

https://www.tripwire.com/state-of-security/most-common-website-security-attacks-and-how-to-protect-yourself

posted @ 2025-04-02 17:12  中科天齐软件原生安全  阅读(164)  评论(0)    收藏  举报