Web 应用程序攻击:它是什么以及如何防御它?

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

  • 前言
  • 一、什么是 Web 应用程序攻击
  • 二、Web 应用程序攻击
  • Web 应用程序攻击的常见类型以及如何预防它们
    • 1.跨站点脚本(XSS)
      • 防止 XSS:
    • 2. 本地文件包含 (LFI)
      • 防止 LFI:
    • 3. 目录遍历
      • 防止目录遍历:
    • 自动化应用程序级 DDoS
      • 预防:自动化应用程序级 DDoS
  • 总结


前言

在过去几年中,Web 应用程序攻击是一种日益严重的网络安全威胁。 在2022 年全球网络攻击增加38%,估计 46%的网站 在应用程序级别存在安全漏洞。

因此,您的网站很可能容易受到这种类型的攻击,这就是为什么您必须了解 Web 应用程序攻击以及您可以采取哪些措施来防止它发生。

在这里,我们将了解您需要了解的有关 Web 应用程序攻击以及如何防御它的所有信息。 然而,让我们首先讨论 Web 应用程序攻击的基本概念。


提示:以下是本篇文章正文内容,下面案例可供参考

一、什么是 Web 应用程序攻击

要真正理解 Web 应用程序攻击的概念,我们必须了解“Web 应用程序”的真正含义。
通俗地说,Web 应用程序或 Web 应用程序是在 Web 服务器上运行的程序/软件,其访问方式与访问网站一样。 现在大多数现代网站都由两个不同的方面组成:网络浏览器和至少一个网络应用程序。

正如我们所知,网络浏览器是一种允许用户与网页交互并消费内容的应用程序。 另一方面,网络应用程序是允许网站访问者通过该网络浏览器提交和检索数据的计算机程序。

网站可以使用从头开始创建的全新 Web 应用程序,也可以从第三方供应商处购买。 重要的是,在 Web 应用程序攻击期间,网络安全威胁专门针对此 Web 应用程序。

二、Web 应用程序攻击

如前所述,Web 应用程序攻击专门针对 Web 应用程序。 Web 应用程序通常是 桥 Web 服务器和数据库服务器之间。 因此,当 Web 应用程序受到攻击时,Web 服务器和数据库服务器也可能会受到攻击。
通常情况下,Web 应用程序攻击会以数据库服务器为目标,其中可能包含有价值的信息(用户的银行信息和个人数据)。

典型的 Web 应用程序攻击可以描述如下:

  1. 攻击者发现 Web 应用程序中的漏洞并通过端口 80 (HTTP) 和 443 (HTTPS) 向 Web 服务器发送攻击
  2. Web服务器收到恶意数据包但未能检测为攻击,因此服务器将数据包传递给Web应用程序服务器
  3. Web应用服务器收到来自Web服务器的恶意代码,再次检测为恶意攻击,发送至数据库服务器
  4. 最后,恶意代码在到达数据库服务器时被执行。 例如,代码指示数据库返回包含用户财务信息的数据
  5. Web 应用服务器按照数据库服务器的指令从数据库中生成包含银行信息的页面
  6. 然后 Web 服务器向攻击者显示此包含银行信息的页面

但是,Web 应用程序攻击可以有多种形式,每种形式都可能需要不同的预防方法。

Web 应用程序攻击的常见类型以及如何预防它们

1.跨站点脚本(XSS)

跨站点脚本或 XSS 是最常见的 Web 应用程序攻击类型之一。 在 XSS 攻击中,攻击者将恶意 JavaScript 隐藏在客户端代码中。 每当加载网页时,就会加载此 JavaScript 代码段。

防止 XSS:

  1. 输入验证: 验证来自 Web 应用程序的输入以防止不受信任的片段。 我们可以将已知的攻击来源列入黑名单,只允许受信任的网站或来源。
  2. 清理和转义用户输入: 清理是修改来自 Web 应用程序的输入以确保其有效 逃逸 在将数据传递到数据库服务器或 Web 服务器之前保护数据。

2. 本地文件包含 (LFI)

文件包含是一种在服务器端代码中包含脚本的技术。 因此,攻击者使用 LFI 来欺骗 Web 应用程序以暴露 Web 服务器上的敏感文件。 成功的 LFI 之后可能会发生跨站点脚本和其他 Web 应用程序攻击。

LFI 利用这样一个事实,即当 Web 应用程序使用文件路径作为输入时,它总是被视为受信任的。 当代码易受攻击时,可以通过此文件路径注入 LFI。

防止 LFI:

  1. 身份分配: 确保将文件路径保存在安全的数据库中,并为每个文件路径标识。 因此,用户(和攻击者)只能看到 ID 而不能查看路径
  2. 优化服务器说明: 确保服务器可以自动发送下载头而不是自动执行指定目录中的文件
  3. 白名单: 只使用经过验证和列入白名单的文件

3. 目录遍历

目录遍历或路径遍历是指攻击者可以访问 web 根目录之外的 web 上的受限目录。 然后攻击者可以通过访问系统文件、运行操作系统命令等方式发起其他 Web 应用程序攻击。

防止目录遍历:

  1. Web 应用程序应始终在处理任何指令之前验证用户输入
    验证输入后,Web 应用程序应将输入附加到基本目录并检查文件路径。 API 应验证文件路径是否以正确的基本目录开头

自动化应用程序级 DDoS

DDoS(分布式拒绝服务)攻击可能在 Web 应用程序级别执行,主要通过在机器人和僵尸网络的帮助下发送重复指令来完成。

预防:自动化应用程序级 DDoS

适当的 Web 应用程序防火墙以及 CAPTCHA 可能有助于防御基本的机器人活动。 但是,复杂的机器人以及 CAPTCHA 农场服务的存在可能会使这些方法变得无用


总结

在当今不断发展的 Web 应用程序攻击中,每个企业和在线实体考虑并采用明确的保护策略变得越来越重要。 主动找出保护 Web 应用程序端的最佳方法,并确保始终验证来自 Web 应用程序服务器的输入。

你可能感兴趣的:(前端,web安全,安全)