根據(jù)2023年一季度應(yīng)用程序安全狀況報(bào)告所披露的報(bào)告，今年來(lái)全球已經(jīng)累計(jì)有超過(guò)1400多萬(wàn)個(gè)網(wǎng)站遭受了超過(guò)10億次網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)依然在逐年不斷提升。

幾乎每個(gè)網(wǎng)站都面臨風(fēng)險(xiǎn)，無(wú)論是簡(jiǎn)單的博客論壇、投資平臺(tái)、小型的獨(dú)立電商網(wǎng)站還是動(dòng)態(tài)電子商務(wù)平臺(tái)。

• 為什么有人會(huì)入侵這些網(wǎng)站？
• 黑客如何來(lái)入侵這些網(wǎng)站？
• 如何才能有效保護(hù)我的網(wǎng)站不被攻擊？

本文將為大家解答這些問(wèn)題

一、黑客為什么要攻擊網(wǎng)站？

攻擊者不斷地在不同的網(wǎng)站周?chē)佬泻透Q探，以識(shí)別網(wǎng)站的漏洞并滲透到網(wǎng)站執(zhí)行他們的命令。我們都知道經(jīng)濟(jì)動(dòng)機(jī)肯定是許多網(wǎng)站被黑客攻擊的首因，有利可圖是最直接的因素，但網(wǎng)站被黑客攻擊也還有其他幾個(gè)原因：

1、財(cái)務(wù)收益

數(shù)據(jù)表明，86%的網(wǎng)絡(luò)攻擊都是由于利益驅(qū)使，黑客可以通過(guò)攻擊網(wǎng)站來(lái)賺取大量金錢(qián)。

常見(jiàn)的盈利途徑有以下幾點(diǎn)：

①濫用數(shù)據(jù)。

黑客可以通過(guò)網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程攻擊、惡意軟件、暴力攻擊等方式訪問(wèn)敏感用戶(hù)數(shù)據(jù)。使用竊取的數(shù)據(jù)，他們可以從事金融欺詐、身份盜竊、冒充等行為，從用戶(hù)的銀行賬戶(hù)轉(zhuǎn)賬，使用被盜憑證申請(qǐng)貸款，申請(qǐng)各類(lèi)福利，通過(guò)虛假社交媒體賬戶(hù)制造詐騙等。

②出售數(shù)據(jù)。

數(shù)據(jù)是貨幣石油，黑客可以通過(guò)在網(wǎng)上/或線下出售用戶(hù)/業(yè)務(wù)數(shù)據(jù)來(lái)賺取大量金錢(qián)。網(wǎng)絡(luò)罪犯購(gòu)買(mǎi)并利用竊取的數(shù)據(jù)來(lái)策劃詐騙、身份盜用、金融欺詐等，詐騙者購(gòu)買(mǎi)此類(lèi)數(shù)據(jù)以制作個(gè)性化的網(wǎng)絡(luò)釣魚(yú)消息或高度針對(duì)性的廣告欺詐。

③SEO垃圾郵件

垃圾郵件索引或SEO垃圾郵件是黑客用來(lái)降低網(wǎng)站SEO排名并將合法用戶(hù)重新路由到垃圾郵件網(wǎng)站的一種高利潤(rùn)方法。這是通過(guò)在網(wǎng)站的用戶(hù)輸入字段中注入反向鏈接和垃圾郵件來(lái)完成的，通過(guò)將用戶(hù)重定向到垃圾郵件網(wǎng)站，黑客可以竊取數(shù)據(jù)、通過(guò)非法購(gòu)買(mǎi)獲取信用卡信息等。

④傳播惡意軟件

黑客經(jīng)常入侵網(wǎng)站，向網(wǎng)站訪問(wèn)者傳播惡意軟件，包括間諜軟件和勒索軟件。他們可能為了自己的利益（勒索公司支付贖金、出售專(zhuān)利信息等）或?yàn)槠渌W(wǎng)絡(luò)犯罪分子、競(jìng)爭(zhēng)對(duì)手甚至民族國(guó)家傳播惡意軟件，無(wú)論哪種情形下，他們都能賺到不小的利益。

2、服務(wù)中斷

通過(guò)網(wǎng)站黑客攻擊，攻擊者可以讓網(wǎng)站對(duì)合法用戶(hù)無(wú)用或不可用，DDoS 攻擊是攻擊者中斷服務(wù)的最好例子。在網(wǎng)絡(luò)服務(wù)中斷期間，黑客可以將其用作其他非法活動(dòng)（竊取信息、修改網(wǎng)站、故意破壞、敲詐勒索等），或者干脆關(guān)閉網(wǎng)站或?qū)⒕W(wǎng)絡(luò)流量重新路由到競(jìng)爭(zhēng)對(duì)手/垃圾郵件網(wǎng)站。

3、企業(yè)間諜活動(dòng)

一些公司雇傭黑客從競(jìng)爭(zhēng)對(duì)手那里竊取機(jī)密信息（業(yè)務(wù)/用戶(hù)數(shù)據(jù)、商業(yè)秘密、定價(jià)信息等），他們還利用網(wǎng)站黑客攻擊目標(biāo)網(wǎng)站，他們可能會(huì)泄露機(jī)密信息或使網(wǎng)站無(wú)法訪問(wèn)，從而損害競(jìng)爭(zhēng)對(duì)手的聲譽(yù)。

4、黑客行動(dòng)主義

在某些情況下，黑客并非受金錢(qián)驅(qū)使。他們只是想表達(dá)一個(gè)觀點(diǎn)——社會(huì)、經(jīng)濟(jì)、政治、宗教或倫理，他們利用網(wǎng)站篡改、勒索軟件、DDoS攻擊、泄露機(jī)密信息等手段。

5、國(guó)家支持的攻擊

有時(shí)候某些國(guó)家會(huì)雇用黑客來(lái)策劃針對(duì)敵對(duì)國(guó)家、政治對(duì)手等的政治間諜活動(dòng)或網(wǎng)絡(luò)戰(zhàn)，網(wǎng)絡(luò)黑客被用于從竊取機(jī)密信息到引發(fā)政治動(dòng)蕩和操縱選舉等方方面面。

6、私人原因

黑客也可能出于娛樂(lè)、個(gè)人報(bào)復(fù)、證明觀點(diǎn)或純粹的無(wú)聊而從事黑客活動(dòng)。

二、網(wǎng)站如何被黑客入侵？

1、損壞的訪問(wèn)控制

訪問(wèn)控制是指對(duì)網(wǎng)站、服務(wù)器、托管面板、社交媒體論壇、系統(tǒng)、網(wǎng)絡(luò)等的授權(quán)、認(rèn)證和用戶(hù)權(quán)限。通過(guò)訪問(wèn)控制，您可以定義誰(shuí)可以訪問(wèn)您的網(wǎng)站、其各種組件、數(shù)據(jù)、 和資產(chǎn)，以及他們有權(quán)獲得多少控制權(quán)和特權(quán)。

為了繞過(guò)身份驗(yàn)證和授權(quán)，黑客經(jīng)常訴諸暴力攻擊，其中包括猜測(cè)用戶(hù)名和密碼、使用通用密碼組合、使用密碼生成工具以及訴諸社會(huì)工程或網(wǎng)絡(luò)釣魚(yú)電子郵件和鏈接。

此類(lèi)黑客攻擊風(fēng)險(xiǎn)較高的網(wǎng)站是：

• 沒(méi)有關(guān)于用戶(hù)特權(quán)和授權(quán)的強(qiáng)有力的策略和配置過(guò)程
• 不要強(qiáng)制使用強(qiáng)密碼
• 不要強(qiáng)制執(zhí)行雙因素/多因素身份驗(yàn)證策略
• 不要定期更改密碼，尤其是在員工離開(kāi)組織后
• 不需要 HTTPS 連接

2、檢查開(kāi)源Web開(kāi)發(fā)組件的缺陷/錯(cuò)誤配置

在當(dāng)今的Web開(kāi)發(fā)實(shí)踐中，對(duì)開(kāi)源代碼、框架、插件、庫(kù)、主題等的依賴(lài)不斷增加，開(kāi)發(fā)人員需要速度、敏捷性和成本效益。

在這種情況下，Node.js成為首選技術(shù)。盡管它們?cè)赪eb開(kāi)發(fā)中注入了速度和成本效益，但另一個(gè)影響就是攻擊者可以利用豐富的漏洞來(lái)源來(lái)策劃黑客攻擊。通常，開(kāi)源代碼、主題、框架、插件等往往會(huì)被開(kāi)發(fā)人員放棄或不再維護(hù)。這意味著沒(méi)有更新或補(bǔ)丁，網(wǎng)站上這些過(guò)時(shí)/未打補(bǔ)丁的組件繼續(xù)使用它們只會(huì)加劇相關(guān)風(fēng)險(xiǎn)。

例如，在Node.js編程的上下文中，存在稱(chēng)為CWE-208或計(jì)時(shí)攻擊的漏洞，它可以暴露信息。此缺陷使惡意個(gè)人能夠竊聽(tīng)網(wǎng)絡(luò)流量并獲得對(duì)通過(guò)網(wǎng)絡(luò)傳輸?shù)臋C(jī)密數(shù)據(jù)的訪問(wèn)權(quán)限。

黑客只需要花費(fèi)時(shí)間、精力和資源來(lái)檢查代碼、庫(kù)和主題中的漏洞和安全配置錯(cuò)誤。他們挖掘遺留組件和舊軟件版本、高風(fēng)險(xiǎn)網(wǎng)站的源代碼、禁用插件/組件而不是將其連同其所有文件一起從服務(wù)器中刪除的實(shí)例等，為策劃攻擊提供切入點(diǎn)。

3、識(shí)別服務(wù)器端漏洞

漏洞是一種弱點(diǎn)或缺乏適當(dāng)?shù)姆烙粽呖梢岳盟鼇?lái)獲得未經(jīng)授權(quán)的訪問(wèn)或執(zhí)行未經(jīng)授權(quán)的操作。攻擊者可以利用漏洞運(yùn)行代碼、安裝惡意軟件以及竊取或修改數(shù)據(jù)。

黑客花費(fèi)大量時(shí)間和精力通過(guò)檢查以下因素來(lái)確定網(wǎng)絡(luò)服務(wù)器類(lèi)型、網(wǎng)絡(luò)服務(wù)器軟件、服務(wù)器操作系統(tǒng)等：

• IP域名
• 一般情報(bào)（在社交媒體、技術(shù)網(wǎng)站等上查詢(xún)）
• 會(huì)話 cookie 名稱(chēng)
• 網(wǎng)頁(yè)上使用的源代碼
• 服務(wù)器設(shè)置安全
• 后端技術(shù)的其他組件

在確定并評(píng)估了您網(wǎng)站的后端技術(shù)后，黑客使用各種工具和技術(shù)來(lái)識(shí)別和利用漏洞和安全配置錯(cuò)誤。

例如，黑客使用端口掃描工具來(lái)識(shí)別用作服務(wù)器網(wǎng)關(guān)的開(kāi)放端口，以及服務(wù)器端的漏洞。一些掃描工具會(huì)發(fā)現(xiàn)受弱密碼或無(wú)密碼保護(hù)的管理應(yīng)用程序。

4、識(shí)別客戶(hù)端漏洞

黑客識(shí)別客戶(hù)端的已知漏洞，例如SQL注入漏洞、XSS漏洞、CSRF漏洞等，從而允許他們從客戶(hù)端編排黑客攻擊。黑客還花費(fèi)大量時(shí)間和精力來(lái)挖掘業(yè)務(wù)邏輯缺陷，例如安全設(shè)計(jì)缺陷、交易和工作流中的業(yè)務(wù)邏輯執(zhí)行等，以從客戶(hù)端入侵網(wǎng)站。

5、尋找API漏洞

今天大多數(shù)網(wǎng)站都使用API與后端系統(tǒng)進(jìn)行通信。利用 API 漏洞使黑客能夠深入了解您網(wǎng)站的內(nèi)部架構(gòu)。API安全配置錯(cuò)誤的指標(biāo)包括：

• 接口能力不足
• 損壞/薄弱的訪問(wèn)控制
• 來(lái)自查詢(xún)字符串、變量等的令牌的可訪問(wèn)性。
• 驗(yàn)證不充分
• 很少或沒(méi)有加密
• 業(yè)務(wù)邏輯缺陷

為了獲得這些漏洞，黑客故意向API發(fā)送無(wú)效參數(shù)、非法請(qǐng)求等，并檢查返回的錯(cuò)誤消息。這些錯(cuò)誤消息可能包含有關(guān)系統(tǒng)的關(guān)鍵信息，例如數(shù)據(jù)庫(kù)類(lèi)型、配置等，黑客可以拼湊這些信息并在以后利用已識(shí)別的漏洞。

6、共享主機(jī)

當(dāng)您的網(wǎng)站與數(shù)百個(gè)其他網(wǎng)站托管在一個(gè)平臺(tái)上時(shí)，被黑客攻擊的風(fēng)險(xiǎn)很高，只需要其中一個(gè)網(wǎng)站存在嚴(yán)重漏洞則其他網(wǎng)站都有可能受影響。獲取托管在特定IP地址的Web服務(wù)器列表很容易，只需找到要利用的漏洞即可，如果您的網(wǎng)站在開(kāi)發(fā)階段就沒(méi)有得到保護(hù)，風(fēng)險(xiǎn)會(huì)進(jìn)一步增加。

無(wú)論網(wǎng)站如何遭到黑客攻擊，都會(huì)給組織帶來(lái)聲譽(yù)損害、客戶(hù)流失、信任損失和法律后果。

三、如何保護(hù)網(wǎng)站免受黑客攻擊？

1、始終掃描

通過(guò)始終在線掃描，您可以獲得有關(guān)已發(fā)現(xiàn)漏洞的報(bào)告，這些漏洞可以傳遞給應(yīng)用程序開(kāi)發(fā)人員進(jìn)行修補(bǔ)。

評(píng)估過(guò)程必須不斷跟蹤供應(yīng)商宣布的普遍被利用的和新的零日漏洞，并檢查您網(wǎng)站的技術(shù)堆棧中是否存在相同漏洞。智能和全面的Web應(yīng)用程序掃描器使您能夠持續(xù)有效地識(shí)別漏洞、差距和錯(cuò)誤配置。

2、獲取網(wǎng)站滲透測(cè)試

處理大數(shù)據(jù)的企業(yè)會(huì)考慮特定于應(yīng)用程序的業(yè)務(wù)邏輯缺陷，只有安全專(zhuān)家才能測(cè)試并建議針對(duì)此缺陷的緩解步驟。每當(dāng)您對(duì)應(yīng)用程序進(jìn)行重大更改時(shí)，請(qǐng)請(qǐng)求經(jīng)過(guò)認(rèn)證的專(zhuān)家進(jìn)行網(wǎng)站滲透測(cè)試。

3、盡量同步測(cè)試和修補(bǔ)

理想的模式是如果您在發(fā)現(xiàn)安全漏洞的同一天修復(fù)它們，但我們都知道這個(gè)很不現(xiàn)實(shí)。開(kāi)發(fā)人員工作時(shí)辰安排、資源限制、依賴(lài)第3方供應(yīng)商發(fā)布補(bǔ)丁和不斷變化的應(yīng)用程序代碼等是修復(fù)漏洞通常需要滯后200天以上的幾個(gè)原因。

但通過(guò)持續(xù)掃描和WAF產(chǎn)品獲得應(yīng)用程序安全解決方案（火傘云現(xiàn)已推出專(zhuān)用WAF產(chǎn)品解決方案，歡迎大家點(diǎn)擊咨詢(xún)），執(zhí)行漏洞掃描，突出關(guān)鍵弱點(diǎn)，同時(shí)允許安全團(tuán)隊(duì)虛擬修補(bǔ)這些已識(shí)別的漏洞是一個(gè)很好的解決方案。

4、將WAAP集成到CI/CD管道中

將 WAAP平臺(tái)集成到CI/CD管道中，使開(kāi)發(fā)團(tuán)隊(duì)能夠?qū)崟r(shí)了解潛在的安全問(wèn)題，從而在暫存和生產(chǎn)環(huán)境中實(shí)現(xiàn)快速修復(fù)。此外，通過(guò)利用 WAAP，開(kāi)發(fā)團(tuán)隊(duì)可以不斷地從檢測(cè)到的漏洞和安全事件中學(xué)習(xí)。它推動(dòng)了編碼實(shí)踐的發(fā)展并加強(qiáng)了網(wǎng)站安全性。

5、為DDoS 戰(zhàn)斗做準(zhǔn)備

應(yīng)用程序?qū)覦DoS是全球企業(yè)面臨的最大挑戰(zhàn)之一，除了監(jiān)視傳入的應(yīng)用程序流量以識(shí)別危險(xiǎn)信號(hào)之外，沒(méi)有針對(duì)攻擊的絕對(duì)安全措施。在網(wǎng)絡(luò)、服務(wù)器和應(yīng)用層等不同級(jí)別引入速率限制，以限制來(lái)自單個(gè)源或 IP 地址的請(qǐng)求或連接的數(shù)量。這有助于防止在 DDoS 攻擊期間使您的資源不堪重負(fù)。（火傘云現(xiàn)已推出專(zhuān)用DDOS和CC產(chǎn)品解決方案，歡迎大家咨詢(xún)）

6、停止垃圾郵件

垃圾郵件過(guò)濾系統(tǒng)，例如CAPTCHA，可以幫助區(qū)分真正的用戶(hù)和自動(dòng)機(jī)器人，減少惡意活動(dòng)的可能性。定期監(jiān)控網(wǎng)站流量和分析模式有助于識(shí)別僵尸機(jī)器人流量。檢測(cè)到后，應(yīng)立即采取措施阻止這些惡意來(lái)源并將其列入黑名單。一旦識(shí)別出僵尸機(jī)器人流量，請(qǐng)確保您能迅速響應(yīng)阻止它。這些主動(dòng)方法顯著降低了黑客攻擊成功的機(jī)會(huì)，并增強(qiáng)了整體網(wǎng)站保護(hù)。