自互聯(lián)網(wǎng)成為主流以來(lái)，人類(lèi)已經(jīng)走了很長(zhǎng)一段路。由DARPA資助的研究項(xiàng)目ARPANET開(kāi)始呈指數(shù)增長(zhǎng)，并改變了人類(lèi)的行為。

當(dāng)WWW(萬(wàn)維網(wǎng))應(yīng)運(yùn)而生時(shí)，它的意思是在互聯(lián)網(wǎng)上共享信息，從那里通過(guò)自然進(jìn)化，部分通過(guò)網(wǎng)絡(luò)經(jīng)濟(jì)學(xué)推動(dòng)創(chuàng)新，Internet&www已蛻變?yōu)槭澜绲拿}。

現(xiàn)在很難想象在互聯(lián)網(wǎng)時(shí)代之前世界如何運(yùn)轉(zhuǎn)。它觸及了人類(lèi)生活的各個(gè)方面，現(xiàn)在對(duì)于日常生存至關(guān)重要。它不再只是一種共享信息的媒介，而是當(dāng)今世界上遍及網(wǎng)絡(luò)的經(jīng)濟(jì)學(xué)。

企業(yè)，政府和人民都依賴于此。新的戰(zhàn)斗不會(huì)在現(xiàn)實(shí)世界中發(fā)生，而是會(huì)在網(wǎng)絡(luò)世界中進(jìn)行。因此，從本質(zhì)上講，對(duì)于任何企業(yè)或政府而言，網(wǎng)絡(luò)安全都比物理安全同等重要或更重要。

[[280532]]

嘗試在沒(méi)有任何保護(hù)的情況下使網(wǎng)站在線，我們立即開(kāi)始在網(wǎng)站上看到一些點(diǎn)擊量。并不是因?yàn)檫@個(gè)網(wǎng)站是每個(gè)人都在尋找的東西，而是因?yàn)镮nternet上有一些機(jī)器人不斷尋找可以被利用的站點(diǎn)。要了解如何保護(hù)我們的網(wǎng)站，首先需要了解攻擊是如何發(fā)生的。

攻擊如何以及為什么發(fā)生?

發(fā)生現(xiàn)場(chǎng)攻擊的原因很多?？赡苁浅鲇谀承┙?jīng)濟(jì)利益或純粹出于惡意原因而竊取私人數(shù)據(jù)，以確保真正的用戶無(wú)法訪問(wèn)網(wǎng)站。

不管是什么原因，對(duì)網(wǎng)站的攻擊可能會(huì)很痛苦，并且可能會(huì)帶來(lái)災(zāi)難性的后果。攻擊者通常嘗試?yán)脩?yīng)用程序中發(fā)現(xiàn)的安全漏洞。攻擊的各個(gè)階段通常可以認(rèn)為如下。

1. 偵察攻擊：

在偵察攻擊中，攻擊者嘗試獲取網(wǎng)站信息并查看漏洞所在，入侵者查詢網(wǎng)絡(luò)中存在的IP，然后通過(guò)端口確定目標(biāo)上運(yùn)行的應(yīng)用程序和操作系統(tǒng)的類(lèi)型和版本。主機(jī)，然后嘗試查看在應(yīng)用程序中發(fā)現(xiàn)了哪些漏洞。

通常，這是通過(guò)自動(dòng)漫游器完成的，因此，當(dāng)網(wǎng)站立即上線時(shí)，Internet上的流量和漫游器就會(huì)被大量使用，它們不斷尋找可獲取攻擊者可以使用的任何信息的站點(diǎn)。

2. 開(kāi)發(fā)：

一旦在站點(diǎn)中發(fā)現(xiàn)漏洞，攻擊者便會(huì)根據(jù)發(fā)現(xiàn)的漏洞對(duì)請(qǐng)求進(jìn)行武器處理，然后發(fā)起攻擊，這樣做是為了利用漏洞進(jìn)行惡意攻擊。

根據(jù)攻擊者的意圖，可以對(duì)網(wǎng)站發(fā)起攻擊以完全關(guān)閉整個(gè)網(wǎng)站，也可以從那里升級(jí)。

3. 命令與控制：

如果攻擊者選擇升級(jí)，然后利用該漏洞，他可能會(huì)試圖控制內(nèi)部系統(tǒng)或特權(quán)控制，以從目標(biāo)網(wǎng)站中竊取數(shù)據(jù)或滲入某些金融犯罪。

如何確保網(wǎng)站安全?

保護(hù)站點(diǎn)的第一步之一就是將站點(diǎn)置于任何入侵防御系統(tǒng)的保護(hù)之下，這將幫助您保護(hù)站點(diǎn)免受基本偵察攻擊。

也就是為網(wǎng)站部署SSL證書(shū)，在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密，防止傳輸數(shù)據(jù)被他人竊取、窺視或篡改。

但是，這還不夠，因?yàn)殡S著技術(shù)的進(jìn)步，攻擊者也變得越來(lái)越老練，他們可以找出網(wǎng)站漏洞，即使它位于防火墻后也可以利用。

因此，最好的防御方法是不要在Web上發(fā)布易受攻擊的應(yīng)用程序，為此，需要識(shí)別并修復(fù)應(yīng)用程序中發(fā)現(xiàn)的漏洞。

可以通過(guò)自動(dòng)掃描找到漏洞。那里有多種自動(dòng)掃描功能，但是好的掃描儀應(yīng)該能夠爬網(wǎng)應(yīng)用程序，模仿用戶行為以識(shí)別不同的工作流程并識(shí)別漏洞。

也就是說(shuō)，僅自動(dòng)掃描不足以確保從安全角度對(duì)應(yīng)用程序進(jìn)行全面測(cè)試。諸如CSRF和業(yè)務(wù)邏輯漏洞之類(lèi)的某些漏洞需要人員介入以利用和驗(yàn)證漏洞。

不幸的是，盡管許多組織竭盡全力以確保其網(wǎng)站和Web應(yīng)用程序在網(wǎng)絡(luò)上不易受到攻擊，但現(xiàn)實(shí)開(kāi)始出現(xiàn)。

企業(yè)不斷面臨不斷發(fā)展和創(chuàng)新的壓力，在這一追求中，安全性處于次要地位。很多時(shí)候，組織沒(méi)有確保其站點(diǎn)安全的安全專(zhuān)業(yè)知識(shí)，因此他們最終使用了錯(cuò)誤的工具，或者大多數(shù)時(shí)候他們采取的安全措施仍然不足。