3種最常見的Web應用程序攻擊類型

　　當今的企業依靠互聯網作為運營的關鍵促進者。這就是他們銷售產品的方式。這就是他們推銷自己的方式。這甚至是他們與客戶溝通和提供售后服務的方式。但這也是他們最大的風險來源之一。

　　原因很簡單。互聯網是一個危險的地方，到處都是試圖利用易受攻擊的網站和平臺謀取金錢利益的不良行為者。而最近的大流行只是擴大了威脅的規模。結果是企業——尤其是小型企業——必須立即采取措施保護其面向互聯網的業務。這意味著保護他們的網站、應用程序和數據。

　　為此，企業必須了解他們可能面臨的威脅類型以及他們如何保護自己。為了提供幫助，以下是三種最常見的 Web 應用程序攻擊類型以及如何擊敗它們。

注入攻擊

　　根據IBM的 X-Force網絡安全部門的說法，注入攻擊是迄今為止對面向 Web 的應用程序和網絡最常見的攻擊類型。原因是多個平臺和技術容易受到該攻擊向量的影響。但其中最危險的是SQL 注入攻擊。

　　在 SQL 注入攻擊中，攻擊者試圖通過更改 Web 應用程序發送的普通查詢來獲得對SQL 數據庫的特權訪問。例如，他們可能會嘗試劫持 Web 表單輸入，以在其位置發送修改后的數據庫調用。如果應用程序不知道拒絕這種格式錯誤的輸入，攻擊就會成功，攻擊者可以竊取他們想要的任何數據。這就是近年來發生的一些最大的數據盜竊事件。

但是，可以防御 SQL 注入攻擊。有四種主要方法可以實現它：

使用準備好的語句和變量綁定——一種指定查詢意圖的方法，可以拒絕意外的數據輸入

使用允許列表進行輸入驗證– 檢查 SQL 命令輸入并拒絕任何意外字符或數據的方法

存儲過程和查詢- 一種將所有允許的數據庫過程和查詢存儲在數據庫本身內并拒絕任何外部命令修改的方法

用戶輸入轉義- 一種利用特定于數據庫的字符轉義來驗證用戶輸入同時拒絕沒有正確轉義序列的輸入的方法

分布式拒絕服務攻擊

　　另一種常見的 Web 應用程序攻擊稱為分布式拒絕服務( DDoS ) 攻擊。這是黑客用來禁用 Web 應用程序的一種方法，方法是向它們發出大量并發請求，直到它們不再有資源來響應。此類攻擊最引人注目的實例發生在 2016 年，當時攻擊者設法禁用了全球 DNS 提供商 Dyn——有效地阻止了數百萬用戶訪問互聯網本身。

　　DDoS 攻擊的問題在于，它們是在沒有任何 Web 應用程序擁有無限資源的假設下運行的。這是任何企業（無論規模多大）都無法補救的情況。因此，對它們的唯一真正防御就是緩解。有兩種主要的處理方法。

　　首先是部署一個 Web 應用防火墻 (WAF)，它可以檢測惡意流量并在其到達目標之前將其拒絕。但是，由于帶寬限制，這不一定會保持 Web 應用程序運行。解決該問題的最佳方法是使用內容交付網絡 (CDN) 作為擴展容量并消除應用程序的主服務器作為可能的單點故障的一種方式。

跨站腳本攻擊

　　企業應防范的第三種常見 Web 應用程序攻擊稱為跨站點腳本 (XSS) 攻擊。當黑客在 Web 應用程序中識別出易受攻擊的代碼時，就會發生這種情況，這些代碼允許他們更改應用程序的代碼本身，或者用惡意代碼代替它。并且 XSS 攻擊很難被發現，通常為時已晚。

　　最臭名昭著的 XSS 攻擊示例之一發生在 2018 年底，當時英國航空公司發現其在線預訂應用程序發生了一些未經授權的更改。攻擊者只用了 22 行代碼，就成功竊取了涉及約 380,000筆交易的身份和信用卡詳細信息。顯然，當變化變得明顯時——阻止這種破壞已經太晚了。

　　但是企業可以使用多種策略來保護其 Web 應用程序免受 XSS 攻擊。首先是盡量減少用戶通過表單和字段輸入數據的能力。如果表單提交不是絕對必要的，那么它不應該存在。并且所有剩余的表單都應該使用輸入驗證和輸出編碼，以確保沒有人可以通過輸入惡意代碼來利用它們。最后，所有現代 Web 應用程序都應包含正確定義的內容安全策略，以定義哪些類型的代碼可以安全運行，哪些不安全。

減少漏洞至關重要

　　最終，企業將繼續與黑客和其他在線惡意行為者進行貓捉老鼠的游戲。但是，通過消除他們最常見的攻擊途徑，就有可能比壞人領先一步。當然，這里詳述的三種攻擊類型并不是業務 Web 應用程序必須面對的唯一威脅。但它們如此普遍是有原因的。這是因為它們易于執行且非常有效。畢竟，有時，讓自己成為最不吸引人的目標是保持安全的最佳方式。