根據(jù)2023年一季度應(yīng)用程序安全狀況報告所披露的報告，今年來全球已經(jīng)累計有超過1400多萬個網(wǎng)站遭受了超過10億次網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)的安全風(fēng)險依然在逐年不斷提升。

幾乎每個網(wǎng)站都面臨風(fēng)險，無論是簡單的博客論壇、投資平臺、小型的獨立電商網(wǎng)站還是動態(tài)電子商務(wù)平臺。

• 為什么有人會入侵這些網(wǎng)站？
• 黑客如何來入侵這些網(wǎng)站？
• 如何才能有效保護我的網(wǎng)站不被攻擊？

本文將為大家解答這些問題

一、黑客為什么要攻擊網(wǎng)站？

攻擊者不斷地在不同的網(wǎng)站周圍爬行和窺探，以識別網(wǎng)站的漏洞并滲透到網(wǎng)站執(zhí)行他們的命令。我們都知道經(jīng)濟動機肯定是許多網(wǎng)站被黑客攻擊的首因，有利可圖是最直接的因素，但網(wǎng)站被黑客攻擊也還有其他幾個原因：

1、財務(wù)收益

數(shù)據(jù)表明，86%的網(wǎng)絡(luò)攻擊都是由于利益驅(qū)使，黑客可以通過攻擊網(wǎng)站來賺取大量金錢。

常見的盈利途徑有以下幾點：

①濫用數(shù)據(jù)。

黑客可以通過網(wǎng)絡(luò)釣魚和社會工程攻擊、惡意軟件、暴力攻擊等方式訪問敏感用戶數(shù)據(jù)。使用竊取的數(shù)據(jù)，他們可以從事金融欺詐、身份盜竊、冒充等行為，從用戶的銀行賬戶轉(zhuǎn)賬，使用被盜憑證申請貸款，申請各類福利，通過虛假社交媒體賬戶制造詐騙等。

②出售數(shù)據(jù)。

數(shù)據(jù)是貨幣石油，黑客可以通過在網(wǎng)上/或線下出售用戶/業(yè)務(wù)數(shù)據(jù)來賺取大量金錢。網(wǎng)絡(luò)罪犯購買并利用竊取的數(shù)據(jù)來策劃詐騙、身份盜用、金融欺詐等，詐騙者購買此類數(shù)據(jù)以制作個性化的網(wǎng)絡(luò)釣魚消息或高度針對性的廣告欺詐。

③SEO垃圾郵件

垃圾郵件索引或SEO垃圾郵件是黑客用來降低網(wǎng)站SEO排名并將合法用戶重新路由到垃圾郵件網(wǎng)站的一種高利潤方法。這是通過在網(wǎng)站的用戶輸入字段中注入反向鏈接和垃圾郵件來完成的，通過將用戶重定向到垃圾郵件網(wǎng)站，黑客可以竊取數(shù)據(jù)、通過非法購買獲取信用卡信息等。

④傳播惡意軟件

黑客經(jīng)常入侵網(wǎng)站，向網(wǎng)站訪問者傳播惡意軟件，包括間諜軟件和勒索軟件。他們可能為了自己的利益（勒索公司支付贖金、出售專利信息等）或為其他網(wǎng)絡(luò)犯罪分子、競爭對手甚至民族國家傳播惡意軟件，無論哪種情形下，他們都能賺到不小的利益。

2、服務(wù)中斷

通過網(wǎng)站黑客攻擊，攻擊者可以讓網(wǎng)站對合法用戶無用或不可用，DDoS 攻擊是攻擊者中斷服務(wù)的最好例子。在網(wǎng)絡(luò)服務(wù)中斷期間，黑客可以將其用作其他非法活動（竊取信息、修改網(wǎng)站、故意破壞、敲詐勒索等），或者干脆關(guān)閉網(wǎng)站或?qū)⒕W(wǎng)絡(luò)流量重新路由到競爭對手/垃圾郵件網(wǎng)站。

3、企業(yè)間諜活動

一些公司雇傭黑客從競爭對手那里竊取機密信息（業(yè)務(wù)/用戶數(shù)據(jù)、商業(yè)秘密、定價信息等），他們還利用網(wǎng)站黑客攻擊目標網(wǎng)站，他們可能會泄露機密信息或使網(wǎng)站無法訪問，從而損害競爭對手的聲譽。

4、黑客行動主義

在某些情況下，黑客并非受金錢驅(qū)使。他們只是想表達一個觀點——社會、經(jīng)濟、政治、宗教或倫理，他們利用網(wǎng)站篡改、勒索軟件、DDoS攻擊、泄露機密信息等手段。

5、國家支持的攻擊

有時候某些國家會雇用黑客來策劃針對敵對國家、政治對手等的政治間諜活動或網(wǎng)絡(luò)戰(zhàn)，網(wǎng)絡(luò)黑客被用于從竊取機密信息到引發(fā)政治動蕩和操縱選舉等方方面面。

6、私人原因

黑客也可能出于娛樂、個人報復(fù)、證明觀點或純粹的無聊而從事黑客活動。

二、網(wǎng)站如何被黑客入侵？

1、損壞的訪問控制

訪問控制是指對網(wǎng)站、服務(wù)器、托管面板、社交媒體論壇、系統(tǒng)、網(wǎng)絡(luò)等的授權(quán)、認證和用戶權(quán)限。通過訪問控制，您可以定義誰可以訪問您的網(wǎng)站、其各種組件、數(shù)據(jù)、 和資產(chǎn)，以及他們有權(quán)獲得多少控制權(quán)和特權(quán)。

為了繞過身份驗證和授權(quán)，黑客經(jīng)常訴諸暴力攻擊，其中包括猜測用戶名和密碼、使用通用密碼組合、使用密碼生成工具以及訴諸社會工程或網(wǎng)絡(luò)釣魚電子郵件和鏈接。

此類黑客攻擊風(fēng)險較高的網(wǎng)站是：

• 沒有關(guān)于用戶特權(quán)和授權(quán)的強有力的策略和配置過程
• 不要強制使用強密碼
• 不要強制執(zhí)行雙因素/多因素身份驗證策略
• 不要定期更改密碼，尤其是在員工離開組織后
• 不需要 HTTPS 連接

2、檢查開源Web開發(fā)組件的缺陷/錯誤配置

在當今的Web開發(fā)實踐中，對開源代碼、框架、插件、庫、主題等的依賴不斷增加，開發(fā)人員需要速度、敏捷性和成本效益。

在這種情況下，Node.js成為首選技術(shù)。盡管它們在Web開發(fā)中注入了速度和成本效益，但另一個影響就是攻擊者可以利用豐富的漏洞來源來策劃黑客攻擊。通常，開源代碼、主題、框架、插件等往往會被開發(fā)人員放棄或不再維護。這意味著沒有更新或補丁，網(wǎng)站上這些過時/未打補丁的組件繼續(xù)使用它們只會加劇相關(guān)風(fēng)險。

例如，在Node.js編程的上下文中，存在稱為CWE-208或計時攻擊的漏洞，它可以暴露信息。此缺陷使惡意個人能夠竊聽網(wǎng)絡(luò)流量并獲得對通過網(wǎng)絡(luò)傳輸?shù)臋C密數(shù)據(jù)的訪問權(quán)限。

黑客只需要花費時間、精力和資源來檢查代碼、庫和主題中的漏洞和安全配置錯誤。他們挖掘遺留組件和舊軟件版本、高風(fēng)險網(wǎng)站的源代碼、禁用插件/組件而不是將其連同其所有文件一起從服務(wù)器中刪除的實例等，為策劃攻擊提供切入點。

3、識別服務(wù)器端漏洞

漏洞是一種弱點或缺乏適當?shù)姆烙?，攻擊者可以利用它來獲得未經(jīng)授權(quán)的訪問或執(zhí)行未經(jīng)授權(quán)的操作。攻擊者可以利用漏洞運行代碼、安裝惡意軟件以及竊取或修改數(shù)據(jù)。

黑客花費大量時間和精力通過檢查以下因素來確定網(wǎng)絡(luò)服務(wù)器類型、網(wǎng)絡(luò)服務(wù)器軟件、服務(wù)器操作系統(tǒng)等：

• IP域名
• 一般情報（在社交媒體、技術(shù)網(wǎng)站等上查詢）
• 會話 cookie 名稱
• 網(wǎng)頁上使用的源代碼
• 服務(wù)器設(shè)置安全
• 后端技術(shù)的其他組件

在確定并評估了您網(wǎng)站的后端技術(shù)后，黑客使用各種工具和技術(shù)來識別和利用漏洞和安全配置錯誤。

例如，黑客使用端口掃描工具來識別用作服務(wù)器網(wǎng)關(guān)的開放端口，以及服務(wù)器端的漏洞。一些掃描工具會發(fā)現(xiàn)受弱密碼或無密碼保護的管理應(yīng)用程序。

4、識別客戶端漏洞

黑客識別客戶端的已知漏洞，例如SQL注入漏洞、XSS漏洞、CSRF漏洞等，從而允許他們從客戶端編排黑客攻擊。黑客還花費大量時間和精力來挖掘業(yè)務(wù)邏輯缺陷，例如安全設(shè)計缺陷、交易和工作流中的業(yè)務(wù)邏輯執(zhí)行等，以從客戶端入侵網(wǎng)站。

5、尋找API漏洞

今天大多數(shù)網(wǎng)站都使用API與后端系統(tǒng)進行通信。利用 API 漏洞使黑客能夠深入了解您網(wǎng)站的內(nèi)部架構(gòu)。API安全配置錯誤的指標包括：

• 接口能力不足
• 損壞/薄弱的訪問控制
• 來自查詢字符串、變量等的令牌的可訪問性。
• 驗證不充分
• 很少或沒有加密
• 業(yè)務(wù)邏輯缺陷

為了獲得這些漏洞，黑客故意向API發(fā)送無效參數(shù)、非法請求等，并檢查返回的錯誤消息。這些錯誤消息可能包含有關(guān)系統(tǒng)的關(guān)鍵信息，例如數(shù)據(jù)庫類型、配置等，黑客可以拼湊這些信息并在以后利用已識別的漏洞。

6、共享主機

當您的網(wǎng)站與數(shù)百個其他網(wǎng)站托管在一個平臺上時，被黑客攻擊的風(fēng)險很高，只需要其中一個網(wǎng)站存在嚴重漏洞則其他網(wǎng)站都有可能受影響。獲取托管在特定IP地址的Web服務(wù)器列表很容易，只需找到要利用的漏洞即可，如果您的網(wǎng)站在開發(fā)階段就沒有得到保護，風(fēng)險會進一步增加。

無論網(wǎng)站如何遭到黑客攻擊，都會給組織帶來聲譽損害、客戶流失、信任損失和法律后果。

三、如何保護網(wǎng)站免受黑客攻擊？

1、始終掃描

通過始終在線掃描，您可以獲得有關(guān)已發(fā)現(xiàn)漏洞的報告，這些漏洞可以傳遞給應(yīng)用程序開發(fā)人員進行修補。

評估過程必須不斷跟蹤供應(yīng)商宣布的普遍被利用的和新的零日漏洞，并檢查您網(wǎng)站的技術(shù)堆棧中是否存在相同漏洞。智能和全面的Web應(yīng)用程序掃描器使您能夠持續(xù)有效地識別漏洞、差距和錯誤配置。

2、獲取網(wǎng)站滲透測試

處理大數(shù)據(jù)的企業(yè)會考慮特定于應(yīng)用程序的業(yè)務(wù)邏輯缺陷，只有安全專家才能測試并建議針對此缺陷的緩解步驟。每當您對應(yīng)用程序進行重大更改時，請請求經(jīng)過認證的專家進行網(wǎng)站滲透測試。

3、盡量同步測試和修補

理想的模式是如果您在發(fā)現(xiàn)安全漏洞的同一天修復(fù)它們，但我們都知道這個很不現(xiàn)實。開發(fā)人員工作時辰安排、資源限制、依賴第3方供應(yīng)商發(fā)布補丁和不斷變化的應(yīng)用程序代碼等是修復(fù)漏洞通常需要滯后200天以上的幾個原因。

但通過持續(xù)掃描和WAF產(chǎn)品獲得應(yīng)用程序安全解決方案（火傘云現(xiàn)已推出專用WAF產(chǎn)品解決方案，歡迎大家點擊咨詢），執(zhí)行漏洞掃描，突出關(guān)鍵弱點，同時允許安全團隊虛擬修補這些已識別的漏洞是一個很好的解決方案。

4、將WAAP集成到CI/CD管道中

將 WAAP平臺集成到CI/CD管道中，使開發(fā)團隊能夠?qū)崟r了解潛在的安全問題，從而在暫存和生產(chǎn)環(huán)境中實現(xiàn)快速修復(fù)。此外，通過利用 WAAP，開發(fā)團隊可以不斷地從檢測到的漏洞和安全事件中學(xué)習(xí)。它推動了編碼實踐的發(fā)展并加強了網(wǎng)站安全性。

5、為DDoS 戰(zhàn)斗做準備

應(yīng)用程序?qū)覦DoS是全球企業(yè)面臨的最大挑戰(zhàn)之一，除了監(jiān)視傳入的應(yīng)用程序流量以識別危險信號之外，沒有針對攻擊的絕對安全措施。在網(wǎng)絡(luò)、服務(wù)器和應(yīng)用層等不同級別引入速率限制，以限制來自單個源或 IP 地址的請求或連接的數(shù)量。這有助于防止在 DDoS 攻擊期間使您的資源不堪重負。（火傘云現(xiàn)已推出專用DDOS和CC產(chǎn)品解決方案，歡迎大家咨詢）

6、停止垃圾郵件

垃圾郵件過濾系統(tǒng)，例如CAPTCHA，可以幫助區(qū)分真正的用戶和自動機器人，減少惡意活動的可能性。定期監(jiān)控網(wǎng)站流量和分析模式有助于識別僵尸機器人流量。檢測到后，應(yīng)立即采取措施阻止這些惡意來源并將其列入黑名單。一旦識別出僵尸機器人流量，請確保您能迅速響應(yīng)阻止它。這些主動方法顯著降低了黑客攻擊成功的機會，并增強了整體網(wǎng)站保護。