根據(jù)2023年一季度應(yīng)用程序安全狀況報告所披露的報告，今年來全球已經(jīng)累計有超過1400多萬個網(wǎng)站遭受了超過10億次網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)的安全風(fēng)險依然在逐年不斷提升。

幾乎每個網(wǎng)站都面臨風(fēng)險，無論是簡單的博客論壇、投資平臺、小型的獨(dú)立電商網(wǎng)站還是動態(tài)電子商務(wù)平臺。

• 為什么有人會入侵這些網(wǎng)站？
• 黑客如何來入侵這些網(wǎng)站？
• 如何才能有效保護(hù)我的網(wǎng)站不被攻擊？

本文將為大家解答這些問題

一、黑客為什么要攻擊網(wǎng)站？

攻擊者不斷地在不同的網(wǎng)站周圍爬行和窺探，以識別網(wǎng)站的漏洞并滲透到網(wǎng)站執(zhí)行他們的命令。我們都知道經(jīng)濟(jì)動機(jī)肯定是許多網(wǎng)站被黑客攻擊的首因，有利可圖是最直接的因素，但網(wǎng)站被黑客攻擊也還有其他幾個原因：

1、財務(wù)收益

數(shù)據(jù)表明，86%的網(wǎng)絡(luò)攻擊都是由于利益驅(qū)使，黑客可以通過攻擊網(wǎng)站來賺取大量金錢。

常見的盈利途徑有以下幾點：

①濫用數(shù)據(jù)。

黑客可以通過網(wǎng)絡(luò)釣魚和社會工程攻擊、惡意軟件、暴力攻擊等方式訪問敏感用戶數(shù)據(jù)。使用竊取的數(shù)據(jù)，他們可以從事金融欺詐、身份盜竊、冒充等行為，從用戶的銀行賬戶轉(zhuǎn)賬，使用被盜憑證申請貸款，申請各類福利，通過虛假社交媒體賬戶制造詐騙等。

②出售數(shù)據(jù)。

數(shù)據(jù)是貨幣石油，黑客可以通過在網(wǎng)上/或線下出售用戶/業(yè)務(wù)數(shù)據(jù)來賺取大量金錢。網(wǎng)絡(luò)罪犯購買并利用竊取的數(shù)據(jù)來策劃詐騙、身份盜用、金融欺詐等，詐騙者購買此類數(shù)據(jù)以制作個性化的網(wǎng)絡(luò)釣魚消息或高度針對性的廣告欺詐。

③SEO垃圾郵件

垃圾郵件索引或SEO垃圾郵件是黑客用來降低網(wǎng)站SEO排名并將合法用戶重新路由到垃圾郵件網(wǎng)站的一種高利潤方法。這是通過在網(wǎng)站的用戶輸入字段中注入反向鏈接和垃圾郵件來完成的，通過將用戶重定向到垃圾郵件網(wǎng)站，黑客可以竊取數(shù)據(jù)、通過非法購買獲取信用卡信息等。

④傳播惡意軟件

黑客經(jīng)常入侵網(wǎng)站，向網(wǎng)站訪問者傳播惡意軟件，包括間諜軟件和勒索軟件。他們可能為了自己的利益（勒索公司支付贖金、出售專利信息等）或為其他網(wǎng)絡(luò)犯罪分子、競爭對手甚至民族國家傳播惡意軟件，無論哪種情形下，他們都能賺到不小的利益。

2、服務(wù)中斷

通過網(wǎng)站黑客攻擊，攻擊者可以讓網(wǎng)站對合法用戶無用或不可用，DDoS 攻擊是攻擊者中斷服務(wù)的最好例子。在網(wǎng)絡(luò)服務(wù)中斷期間，黑客可以將其用作其他非法活動（竊取信息、修改網(wǎng)站、故意破壞、敲詐勒索等），或者干脆關(guān)閉網(wǎng)站或?qū)⒕W(wǎng)絡(luò)流量重新路由到競爭對手/垃圾郵件網(wǎng)站。

3、企業(yè)間諜活動

一些公司雇傭黑客從競爭對手那里竊取機(jī)密信息（業(yè)務(wù)/用戶數(shù)據(jù)、商業(yè)秘密、定價信息等），他們還利用網(wǎng)站黑客攻擊目標(biāo)網(wǎng)站，他們可能會泄露機(jī)密信息或使網(wǎng)站無法訪問，從而損害競爭對手的聲譽(yù)。

4、黑客行動主義

在某些情況下，黑客并非受金錢驅(qū)使。他們只是想表達(dá)一個觀點——社會、經(jīng)濟(jì)、政治、宗教或倫理，他們利用網(wǎng)站篡改、勒索軟件、DDoS攻擊、泄露機(jī)密信息等手段。

5、國家支持的攻擊

有時候某些國家會雇用黑客來策劃針對敵對國家、政治對手等的政治間諜活動或網(wǎng)絡(luò)戰(zhàn)，網(wǎng)絡(luò)黑客被用于從竊取機(jī)密信息到引發(fā)政治動蕩和操縱選舉等方方面面。

6、私人原因

黑客也可能出于娛樂、個人報復(fù)、證明觀點或純粹的無聊而從事黑客活動。

二、網(wǎng)站如何被黑客入侵？

1、損壞的訪問控制

訪問控制是指對網(wǎng)站、服務(wù)器、托管面板、社交媒體論壇、系統(tǒng)、網(wǎng)絡(luò)等的授權(quán)、認(rèn)證和用戶權(quán)限。通過訪問控制，您可以定義誰可以訪問您的網(wǎng)站、其各種組件、數(shù)據(jù)、 和資產(chǎn)，以及他們有權(quán)獲得多少控制權(quán)和特權(quán)。

為了繞過身份驗證和授權(quán)，黑客經(jīng)常訴諸暴力攻擊，其中包括猜測用戶名和密碼、使用通用密碼組合、使用密碼生成工具以及訴諸社會工程或網(wǎng)絡(luò)釣魚電子郵件和鏈接。

此類黑客攻擊風(fēng)險較高的網(wǎng)站是：

• 沒有關(guān)于用戶特權(quán)和授權(quán)的強(qiáng)有力的策略和配置過程
• 不要強(qiáng)制使用強(qiáng)密碼
• 不要強(qiáng)制執(zhí)行雙因素/多因素身份驗證策略
• 不要定期更改密碼，尤其是在員工離開組織后
• 不需要 HTTPS 連接

2、檢查開源Web開發(fā)組件的缺陷/錯誤配置

在當(dāng)今的Web開發(fā)實踐中，對開源代碼、框架、插件、庫、主題等的依賴不斷增加，開發(fā)人員需要速度、敏捷性和成本效益。

在這種情況下，Node.js成為首選技術(shù)。盡管它們在Web開發(fā)中注入了速度和成本效益，但另一個影響就是攻擊者可以利用豐富的漏洞來源來策劃黑客攻擊。通常，開源代碼、主題、框架、插件等往往會被開發(fā)人員放棄或不再維護(hù)。這意味著沒有更新或補(bǔ)丁，網(wǎng)站上這些過時/未打補(bǔ)丁的組件繼續(xù)使用它們只會加劇相關(guān)風(fēng)險。

例如，在Node.js編程的上下文中，存在稱為CWE-208或計時攻擊的漏洞，它可以暴露信息。此缺陷使惡意個人能夠竊聽網(wǎng)絡(luò)流量并獲得對通過網(wǎng)絡(luò)傳輸?shù)臋C(jī)密數(shù)據(jù)的訪問權(quán)限。

黑客只需要花費(fèi)時間、精力和資源來檢查代碼、庫和主題中的漏洞和安全配置錯誤。他們挖掘遺留組件和舊軟件版本、高風(fēng)險網(wǎng)站的源代碼、禁用插件/組件而不是將其連同其所有文件一起從服務(wù)器中刪除的實例等，為策劃攻擊提供切入點。

3、識別服務(wù)器端漏洞

漏洞是一種弱點或缺乏適當(dāng)?shù)姆烙粽呖梢岳盟鼇慝@得未經(jīng)授權(quán)的訪問或執(zhí)行未經(jīng)授權(quán)的操作。攻擊者可以利用漏洞運(yùn)行代碼、安裝惡意軟件以及竊取或修改數(shù)據(jù)。

黑客花費(fèi)大量時間和精力通過檢查以下因素來確定網(wǎng)絡(luò)服務(wù)器類型、網(wǎng)絡(luò)服務(wù)器軟件、服務(wù)器操作系統(tǒng)等：

• IP域名
• 一般情報（在社交媒體、技術(shù)網(wǎng)站等上查詢）
• 會話 cookie 名稱
• 網(wǎng)頁上使用的源代碼
• 服務(wù)器設(shè)置安全
• 后端技術(shù)的其他組件

在確定并評估了您網(wǎng)站的后端技術(shù)后，黑客使用各種工具和技術(shù)來識別和利用漏洞和安全配置錯誤。

例如，黑客使用端口掃描工具來識別用作服務(wù)器網(wǎng)關(guān)的開放端口，以及服務(wù)器端的漏洞。一些掃描工具會發(fā)現(xiàn)受弱密碼或無密碼保護(hù)的管理應(yīng)用程序。

4、識別客戶端漏洞

黑客識別客戶端的已知漏洞，例如SQL注入漏洞、XSS漏洞、CSRF漏洞等，從而允許他們從客戶端編排黑客攻擊。黑客還花費(fèi)大量時間和精力來挖掘業(yè)務(wù)邏輯缺陷，例如安全設(shè)計缺陷、交易和工作流中的業(yè)務(wù)邏輯執(zhí)行等，以從客戶端入侵網(wǎng)站。

5、尋找API漏洞

今天大多數(shù)網(wǎng)站都使用API與后端系統(tǒng)進(jìn)行通信。利用 API 漏洞使黑客能夠深入了解您網(wǎng)站的內(nèi)部架構(gòu)。API安全配置錯誤的指標(biāo)包括：

• 接口能力不足
• 損壞/薄弱的訪問控制
• 來自查詢字符串、變量等的令牌的可訪問性。
• 驗證不充分
• 很少或沒有加密
• 業(yè)務(wù)邏輯缺陷

為了獲得這些漏洞，黑客故意向API發(fā)送無效參數(shù)、非法請求等，并檢查返回的錯誤消息。這些錯誤消息可能包含有關(guān)系統(tǒng)的關(guān)鍵信息，例如數(shù)據(jù)庫類型、配置等，黑客可以拼湊這些信息并在以后利用已識別的漏洞。

6、共享主機(jī)

當(dāng)您的網(wǎng)站與數(shù)百個其他網(wǎng)站托管在一個平臺上時，被黑客攻擊的風(fēng)險很高，只需要其中一個網(wǎng)站存在嚴(yán)重漏洞則其他網(wǎng)站都有可能受影響。獲取托管在特定IP地址的Web服務(wù)器列表很容易，只需找到要利用的漏洞即可，如果您的網(wǎng)站在開發(fā)階段就沒有得到保護(hù)，風(fēng)險會進(jìn)一步增加。

無論網(wǎng)站如何遭到黑客攻擊，都會給組織帶來聲譽(yù)損害、客戶流失、信任損失和法律后果。

三、如何保護(hù)網(wǎng)站免受黑客攻擊？

1、始終掃描

通過始終在線掃描，您可以獲得有關(guān)已發(fā)現(xiàn)漏洞的報告，這些漏洞可以傳遞給應(yīng)用程序開發(fā)人員進(jìn)行修補(bǔ)。

評估過程必須不斷跟蹤供應(yīng)商宣布的普遍被利用的和新的零日漏洞，并檢查您網(wǎng)站的技術(shù)堆棧中是否存在相同漏洞。智能和全面的Web應(yīng)用程序掃描器使您能夠持續(xù)有效地識別漏洞、差距和錯誤配置。

2、獲取網(wǎng)站滲透測試

處理大數(shù)據(jù)的企業(yè)會考慮特定于應(yīng)用程序的業(yè)務(wù)邏輯缺陷，只有安全專家才能測試并建議針對此缺陷的緩解步驟。每當(dāng)您對應(yīng)用程序進(jìn)行重大更改時，請請求經(jīng)過認(rèn)證的專家進(jìn)行網(wǎng)站滲透測試。

3、盡量同步測試和修補(bǔ)

理想的模式是如果您在發(fā)現(xiàn)安全漏洞的同一天修復(fù)它們，但我們都知道這個很不現(xiàn)實。開發(fā)人員工作時辰安排、資源限制、依賴第3方供應(yīng)商發(fā)布補(bǔ)丁和不斷變化的應(yīng)用程序代碼等是修復(fù)漏洞通常需要滯后200天以上的幾個原因。

但通過持續(xù)掃描和WAF產(chǎn)品獲得應(yīng)用程序安全解決方案（火傘云現(xiàn)已推出專用WAF產(chǎn)品解決方案，歡迎大家點擊咨詢），執(zhí)行漏洞掃描，突出關(guān)鍵弱點，同時允許安全團(tuán)隊虛擬修補(bǔ)這些已識別的漏洞是一個很好的解決方案。

4、將WAAP集成到CI/CD管道中

將 WAAP平臺集成到CI/CD管道中，使開發(fā)團(tuán)隊能夠?qū)崟r了解潛在的安全問題，從而在暫存和生產(chǎn)環(huán)境中實現(xiàn)快速修復(fù)。此外，通過利用 WAAP，開發(fā)團(tuán)隊可以不斷地從檢測到的漏洞和安全事件中學(xué)習(xí)。它推動了編碼實踐的發(fā)展并加強(qiáng)了網(wǎng)站安全性。

5、為DDoS 戰(zhàn)斗做準(zhǔn)備

應(yīng)用程序?qū)覦DoS是全球企業(yè)面臨的最大挑戰(zhàn)之一，除了監(jiān)視傳入的應(yīng)用程序流量以識別危險信號之外，沒有針對攻擊的絕對安全措施。在網(wǎng)絡(luò)、服務(wù)器和應(yīng)用層等不同級別引入速率限制，以限制來自單個源或 IP 地址的請求或連接的數(shù)量。這有助于防止在 DDoS 攻擊期間使您的資源不堪重負(fù)。（火傘云現(xiàn)已推出專用DDOS和CC產(chǎn)品解決方案，歡迎大家咨詢）

6、停止垃圾郵件

垃圾郵件過濾系統(tǒng)，例如CAPTCHA，可以幫助區(qū)分真正的用戶和自動機(jī)器人，減少惡意活動的可能性。定期監(jiān)控網(wǎng)站流量和分析模式有助于識別僵尸機(jī)器人流量。檢測到后，應(yīng)立即采取措施阻止這些惡意來源并將其列入黑名單。一旦識別出僵尸機(jī)器人流量，請確保您能迅速響應(yīng)阻止它。這些主動方法顯著降低了黑客攻擊成功的機(jī)會，并增強(qiáng)了整體網(wǎng)站保護(hù)。