高防服務(wù)器隨著更多類似英國航空公司等越來越陡數(shù)據(jù)泄露事件和其他攻擊事件的曝光，各類網(wǎng)站和應(yīng)用程序面臨數(shù)據(jù)泄露、僵尸程序管理、DDoS 攻擊、API 安全等安全挑戰(zhàn)，促使眾多企業(yè)高管和 IT 專精人員更加重視網(wǎng)站和應(yīng)用程序的安全策略，包括引入 GDPR(《通用數(shù)據(jù)保護條例》)、采用新的應(yīng)用程序開發(fā)架構(gòu)和框架等。這些措施使許多企業(yè)高管對其安全模型有效減輕 Web 應(yīng)用程序攻擊的能力表示極具信心。

　　然而，目前的現(xiàn)實是，針對網(wǎng)站和應(yīng)用程序的攻擊達到了創(chuàng)紀錄的高度，敏感數(shù)據(jù)的共享比以往任何時候都多。有海外市場調(diào)查顯示，33% 的網(wǎng)站和應(yīng)用程序允許第三方通過 API 創(chuàng)建 / 修改 / 刪除數(shù)據(jù);1/3 的網(wǎng)站和應(yīng)用程序與第三方共享敏感數(shù)據(jù);67% 的人認為黑客可以穿透他們的網(wǎng)絡(luò);89% 的人認為網(wǎng)絡(luò)抓取是他們知識產(chǎn)權(quán)的重大威脅;83% 的受訪者正在啟用 BUG 賞金計劃，以找到他們網(wǎng)站和應(yīng)用程序漏洞。與此同時，采用新興框架和架構(gòu) (依賴于與多種服務(wù)的眾多集成) 會增加復雜性并增加攻擊面。

　　2017 年 11 月，OWASP 發(fā)布了 Web 應(yīng)用程序中十大漏洞的新列表。黑客繼續(xù)使用注入、XSS 和一些傳統(tǒng)技術(shù) (如 CSRF，RFI / LFI 和會話劫持) 來利用這些漏洞并獲取對敏感信息的未授權(quán)訪問。隨著攻擊來自可靠的來源，例如 CDN、加密流量或我們集成的系統(tǒng)和服務(wù)的 API，保護變得越來越復雜。機器人的行為與真實用戶一樣，可以繞過諸如 CAPTCHA，基于 IP 的檢測等挑戰(zhàn)，從而更加難以保護和優(yōu)化用戶體驗。

　　因此，我們的 Web 應(yīng)用程序安全解決方案需要更加智能，并且可以解決各種漏洞利用方案。除了保護應(yīng)用程序免受這些常見漏洞之外，它還需要保護 API 并緩解 DoS 攻擊，管理機器人流量并區(qū)分合法機器人 (例如搜索引擎) 和僵尸網(wǎng)絡(luò)，網(wǎng)絡(luò)抓取工具等。

　　一、DDoS 攻擊

　　DoS 攻擊通過耗盡應(yīng)用程序資源使應(yīng)用程序無法運行。緩沖區(qū)溢出和 HTTP 泛洪是最常見的 DoS 攻擊類型，這種形式的攻擊在 APAC 中更為常見。36% 的人認為 HTTP / Layer-7 DDoS 是最難緩解的攻擊。一半的企業(yè)采用基于速率的方法 (例如限制來自某個來源的請求數(shù)量或僅僅購買基于速率的 DDoS 保護解決方案)，一旦超過閾值且真實用戶無法連接，這些方法無效。建議參考創(chuàng)新互聯(lián)香港高防服務(wù)器，其香港高防服務(wù)器基于先進的攻擊檢測和處理系統(tǒng)，可精準識別 25 種以上的多種 DDoS/CC 變種攻擊，并秒級觸發(fā)清洗機制，可有效清洗高達 500Gbps 的大規(guī)模 DDoS 攻擊，并保證合法流量的正常通過，即使 DDoS 攻擊高峰期間也能保證你的網(wǎng)站和應(yīng)用程序持續(xù)運行。創(chuàng)新互聯(lián)香港高防服務(wù)器提供壓力測試，提供防御無效退款承諾。

　　二、API 攻擊

　　API 簡化了應(yīng)用程序服務(wù)的體系結(jié)構(gòu)和交付，并使數(shù)字交互成為可能。不幸的是，它們還引入了廣泛的風險和漏洞，成為黑客入侵網(wǎng)絡(luò)的后門。通過 API，數(shù)據(jù)在 HTTP 中交換，雙方接收、處理和共享信息。理論上，第三方能夠從應(yīng)用程序插入、修改、刪除和檢索內(nèi)容。調(diào)查顯示，62% 的受訪者沒有對通過 API 發(fā)送的數(shù)據(jù)進行加密;70% 的受訪者不需要身份驗證;33% 允許第三方執(zhí)行操作 (GET / POST / PUT / DELETE)。這些都使黑客針對 API 發(fā)起攻擊成為可能。

　　三、機器人攻擊

　　好壞機器人流量的數(shù)量都在增長。企業(yè)被迫增加網(wǎng)絡(luò)容量，并且需要能夠從中準確地分辨出攻擊流量和正常流量，從而保持客戶體驗和安全性。黑客可以使用網(wǎng)絡(luò)爬蟲抓取你的網(wǎng)站和應(yīng)用程序信息，包括你的定價信息、克隆你的網(wǎng)站代碼、侵犯你的知識產(chǎn)權(quán)，以及在你的促銷活動時薅羊毛等。

　　四、數(shù)據(jù)泄露

　　盡管絕大多數(shù)企業(yè)都密切關(guān)注他們收集和共享的數(shù)據(jù)類型。但是，幾乎近半企業(yè)都曾遭遇過違規(guī)行為。平均而言，一個企業(yè)每年遭受 16.5 次違規(guī)嘗試。大多數(shù)人花費數(shù)小時和數(shù)天才發(fā)現(xiàn)，甚至一直沒有發(fā)現(xiàn)。從調(diào)查結(jié)果看，數(shù)據(jù)泄露是最難以發(fā)現(xiàn)和解決的攻擊。企業(yè)如何發(fā)現(xiàn)數(shù)據(jù)泄露 ? 啟用異常檢測工具、Darknet 監(jiān)控服務(wù)、信息被公開泄露、被勒索要求贖金等。

　　五、攻擊影響

　　諸如利潤受損、聲譽損失、客戶補償、法律訴訟、客戶流失以及股價下跌等負面影響，并且修復公司聲譽受損的過程很長，而且并不總是成功。

　　六、確保新興應(yīng)用程序開發(fā)框架的安全

　　快速增長的應(yīng)用程序數(shù)量及其在多個環(huán)境中的分布需要進行調(diào)整，一旦需要對應(yīng)用程序進行更改，就會導致變化。幾乎不可能在所有環(huán)境中有效地部署和維護相同的安全策略。雖然 93% 的企業(yè)使用 Web 應(yīng)用程序防火墻 (WAF)，但只有三分之一使用的 WAF 結(jié)合了正面和負面的安全模型，以實現(xiàn)有效的應(yīng)用程序保護。在使用云服務(wù)器的受訪者中，有一半將數(shù)據(jù)保護評為大挑戰(zhàn)，其次是可用性保證、策略實施、身份驗證和可見性。

　　其實，絕大多數(shù)企業(yè)對于其網(wǎng)站和應(yīng)用程序的安全性都存在盲目的自信，這是一種虛假的安全感。攻擊方式在不斷發(fā)展，安全措施并非萬無一失。擁有應(yīng)用程序安全工具和流程可以提供控制感，但它們很可能遲早會被破壞或繞過。另外，很多企業(yè)高管并不完全了解其日常事件。他們期待他們的內(nèi)部團隊負責應(yīng)用程序安全性來管理問題，但他們對企業(yè)的應(yīng)用程序安全策略的有效性和實際風險暴露的看法之間似乎存在脫節(jié)。

分享題目：?你的網(wǎng)站和應(yīng)用程序安全嗎
URL鏈接：http://www.rwnh.cn/news/266275.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、建站公司、全網(wǎng)營銷推廣、網(wǎng)頁設(shè)計公司、網(wǎng)站策劃、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)