网站、APP、小程序属于典型的web应用程序,所以网站安全(包括APP、小程序)就是Web应用安全,下面看一下web应用面临的主要安全问题:
一个网站(包括APP、小程序)要提供多项在线服务,例如新闻,重要数据,电商/支付,投票,积分,红包,抢票,用户生成内容(例如贴子)等,这些服务当中存在各种敏感内容,这些敏感内容引发了层出不穷的安全问题:
针对网页和移动客户端,客户端仿冒,劫持流量,篡改网页都是常见的攻击手段,而针对服务端,攻击手段则更加复杂和多样——DDoS攻击就是其中常见的一种:依据行业情况,在线服务会受到不同程度的DDoS攻击,尤以金融和电商行业最为严重。黑客入侵后的手段堪称多样:常见的就有撞库拖库进行信息盗取,篡改网页内容,通过后门木马将主机变成肉鸡实施攻击,加密数据库进行勒索等。对网页所有者而言,一旦被攻击成功,最终的结果只能是数据的泄露或业务的中断,形成直接或间接的资金损失。
对投票,积分,红包,抢票等与用户息息相关的业务而言,见缝插针的黄牛党与羊毛党也令人无比头痛,他们通过垃圾注册,刷粉刷票刷积分等方式盗取用户和公司的权益,使公司业务出现下滑。而对于某些允许用户自主生成内容的论坛类网站而言,大量恶意内容的出现则更加危险。一旦涉黄,涉政或涉恐内容没有及时清理,监管办公室的茶水就要请论坛负责人来喝一杯了。
安全问题所引发的业务风险:
1. 被监管强制关站:G20期间,上海某大型汽车公司网站被美国反共黑客组织入侵,该公司网页logo被篡改并加入反共宣传标语,直接的结果就是机器被网警上门搬走,公司CSO被请去调查。
2. 经营者承担法律责任:网安法已经实行,该法律规定,一旦公司网络安全出现问题,将惩罚公司中负责网络安全和信息化的责任人。除最高可处五天拘留及三十万罚款外,还会同时计入征信档案,对个人信誉造成影响。
3. 直接经济损失:黑客可能通过修改支付接口,利用拖库信息诈骗客户等方式造成公司的直接经济损失。
4. 关键词排名下降:网站被挂暗链或木马后,其搜索引擎排名也会受到影响,甚至被K站(搜不到)。
5. 网站被提示不安全:用户很可能打开网站即显示不安全,造成网站访问量和品牌形象受损。
网站安全态势:
网站安全状况:百分之46的网站存在弱口令,百分之33的网站存在SQL 注入,百分之8的网站可直接进行命令执行,其中,命令执行和弱口令都几乎没有入侵难度。
Web应用攻击类型:百分之58的攻击由Webshell达成,百分之14依靠命令执行,百分之13依靠SQL注入,百分之12的攻击采用文件包含。可以看到的是,如今的Web攻击正逐渐向自动化,工业化的方向靠拢,由此导致大量Webshell探测攻击的产生。
被攻击的主要原因一:自身存在漏洞
对黑客来说,下手的原因就是因为可以下手,攻击成本低。而对经营者来说,网站被攻击的原因往往与其自身存在漏洞有关。
从移动App到网络层,主机层,应用层,数据层(比如老旧的HTTP协议,谷歌甚至认为所有的HTTP网站都不安全),直至内容及业务,任何一个层面的漏洞都可能成为黑客入侵的端口,这有些类似木桶原理:黑客攻击只要找到一个短板就足以跳入桶内,而如果想把黑客拦住,网站所有者却必须补全所有的短板。
黑客攻击的方式也往往分为两种:第一种是扫楼攻击,即漫无目的的对大量的网页进行筛查,寻找缺乏防护的站点进行入侵,另一种是定向攻击,即有目的性与针对性的进行攻击,用于获取期望的敏感数据或搞垮目标。
被攻击的主要原因二:威胁加剧
黑客们的动机往往是多样的,概括下来大概有五类:受企业委托,为企业发现漏洞的白帽子;政治动机驱动,攻击政府组织的国家背景黑客;为了炫耀能力的漫无目的者;为证明能力来获得名利的自动驱动黑客,以及受经济利益驱动,以盗取信息和植入木马为方式的网络犯罪。对企业用户来说,网络犯罪往往最危险而最可恶,IDC上几乎一半的网站变成肉鸡就是他们的手笔。在竞争激烈的行业和大型活动期间,网络犯罪的数量通常也会跟着大幅度跃升。
黑客入侵成本:
对关注经济利益的黑客来说,投资回报比是个不得不考虑的问题。事实上,黑客对一个网站的入侵也是存在相应成本的,一半以上的国内网站入侵的成本接近为零,用扫描或弱口令撞击的方式即可破解,三到四成的网站入侵成本在数千到一万之间:这类网站往往有一定的安全意识,但防护能力不足,黑客可以通过寻找业务逻辑漏洞的方式进行破解,在我们经授权测试的电商网站中,全部网站都存在下单改价零元购这一业务逻辑漏洞,堪称无一幸免。而面向普通商业银行和中型互联网公司的攻击则需要数万到数十万的资金,通过较为复杂的应用以及业务逻辑漏洞方得以进行入侵,再向上的话,对于一些安全体系完善的机密级资料库和巨型互联网公司来说,入侵的成本可能会超过百万,这就在无形中筛除了绝大多数的黑客,保证了网站的数据安全。
网站安全的建议:
企业的网站安全建设不是一蹴而就的,针对不同的企业发展阶段进行体系建设才能达到经济和效用的最佳平衡点,通常,企业的网站安全建设可以分三个阶段完成:
阶段一:防基础攻击:在阿里云上加入安全组,线下布设防火墙,将网站更改为HTTPS协议, 使用云安全中心防止Webshell植入后门。
阶段二:防针对攻击:修补业务逻辑漏洞,进行红蓝对抗提升安全能力,由云技术在线安全工程师进行安全运维,使用阿里云态势感知依托大数据进行安全分析。
阶段三:按需要防控:例如在电商大促时使用DDoS高防,进行数据风控,监测内容安全。
文章来源:网络