Web 应用程序攻击:它是什么以及如何防御它?

这篇具有很好参考价值的文章主要介绍了Web 应用程序攻击:它是什么以及如何防御它?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档


前言

在过去几年中,Web 应用程序攻击是一种日益严重的网络安全威胁。 在2022 年全球网络攻击增加38%,估计 46%的网站 在应用程序级别存在安全漏洞。

因此,您的网站很可能容易受到这种类型的攻击,这就是为什么您必须了解 Web 应用程序攻击以及您可以采取哪些措施来防止它发生。

在这里,我们将了解您需要了解的有关 Web 应用程序攻击以及如何防御它的所有信息。 然而,让我们首先讨论 Web 应用程序攻击的基本概念。


提示:以下是本篇文章正文内容,下面案例可供参考

一、什么是 Web 应用程序攻击

要真正理解 Web 应用程序攻击的概念,我们必须了解“Web 应用程序”的真正含义。
通俗地说,Web 应用程序或 Web 应用程序是在 Web 服务器上运行的程序/软件,其访问方式与访问网站一样。 现在大多数现代网站都由两个不同的方面组成:网络浏览器和至少一个网络应用程序。

正如我们所知,网络浏览器是一种允许用户与网页交互并消费内容的应用程序。 另一方面,网络应用程序是允许网站访问者通过该网络浏览器提交和检索数据的计算机程序。

网站可以使用从头开始创建的全新 Web 应用程序,也可以从第三方供应商处购买。 重要的是,在 Web 应用程序攻击期间,网络安全威胁专门针对此 Web 应用程序。

二、Web 应用程序攻击

如前所述,Web 应用程序攻击专门针对 Web 应用程序。 Web 应用程序通常是 桥 Web 服务器和数据库服务器之间。 因此,当 Web 应用程序受到攻击时,Web 服务器和数据库服务器也可能会受到攻击。
通常情况下,Web 应用程序攻击会以数据库服务器为目标,其中可能包含有价值的信息(用户的银行信息和个人数据)。

典型的 Web 应用程序攻击可以描述如下:

  1. 攻击者发现 Web 应用程序中的漏洞并通过端口 80 (HTTP) 和 443 (HTTPS) 向 Web 服务器发送攻击
  2. Web服务器收到恶意数据包但未能检测为攻击,因此服务器将数据包传递给Web应用程序服务器
  3. Web应用服务器收到来自Web服务器的恶意代码,再次检测为恶意攻击,发送至数据库服务器
  4. 最后,恶意代码在到达数据库服务器时被执行。 例如,代码指示数据库返回包含用户财务信息的数据
  5. Web 应用服务器按照数据库服务器的指令从数据库中生成包含银行信息的页面
  6. 然后 Web 服务器向攻击者显示此包含银行信息的页面

但是,Web 应用程序攻击可以有多种形式,每种形式都可能需要不同的预防方法。

Web 应用程序攻击的常见类型以及如何预防它们

1.跨站点脚本(XSS)

跨站点脚本或 XSS 是最常见的 Web 应用程序攻击类型之一。 在 XSS 攻击中,攻击者将恶意 JavaScript 隐藏在客户端代码中。 每当加载网页时,就会加载此 JavaScript 代码段。

防止 XSS:

  1. 输入验证: 验证来自 Web 应用程序的输入以防止不受信任的片段。 我们可以将已知的攻击来源列入黑名单,只允许受信任的网站或来源。
  2. 清理和转义用户输入: 清理是修改来自 Web 应用程序的输入以确保其有效 逃逸 在将数据传递到数据库服务器或 Web 服务器之前保护数据。

2. 本地文件包含 (LFI)

文件包含是一种在服务器端代码中包含脚本的技术。 因此,攻击者使用 LFI 来欺骗 Web 应用程序以暴露 Web 服务器上的敏感文件。 成功的 LFI 之后可能会发生跨站点脚本和其他 Web 应用程序攻击。

LFI 利用这样一个事实,即当 Web 应用程序使用文件路径作为输入时,它总是被视为受信任的。 当代码易受攻击时,可以通过此文件路径注入 LFI。

防止 LFI:

  1. 身份分配: 确保将文件路径保存在安全的数据库中,并为每个文件路径标识。 因此,用户(和攻击者)只能看到 ID 而不能查看路径
  2. 优化服务器说明: 确保服务器可以自动发送下载头而不是自动执行指定目录中的文件
  3. 白名单: 只使用经过验证和列入白名单的文件

3. 目录遍历

目录遍历或路径遍历是指攻击者可以访问 web 根目录之外的 web 上的受限目录。 然后攻击者可以通过访问系统文件、运行操作系统命令等方式发起其他 Web 应用程序攻击。

防止目录遍历:

  1. Web 应用程序应始终在处理任何指令之前验证用户输入
    验证输入后,Web 应用程序应将输入附加到基本目录并检查文件路径。 API 应验证文件路径是否以正确的基本目录开头

自动化应用程序级 DDoS

DDoS(分布式拒绝服务)攻击可能在 Web 应用程序级别执行,主要通过在机器人和僵尸网络的帮助下发送重复指令来完成。

预防:自动化应用程序级 DDoS

适当的 Web 应用程序防火墙以及 CAPTCHA 可能有助于防御基本的机器人活动。 但是,复杂的机器人以及 CAPTCHA 农场服务的存在可能会使这些方法变得无用


总结

在当今不断发展的 Web 应用程序攻击中,每个企业和在线实体考虑并采用明确的保护策略变得越来越重要。 主动找出保护 Web 应用程序端的最佳方法,并确保始终验证来自 Web 应用程序服务器的输入。文章来源地址https://www.toymoban.com/news/detail-498142.html

到了这里,关于Web 应用程序攻击:它是什么以及如何防御它?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 移动应用数据安全性:如何防止应用程序被黑客攻击和数据泄露?

    在移动应用成为人们生活中不可或缺的一部分的今天,数据安全性已经成为一个非常重要的问题。随着黑客攻击和数据泄露事件的频繁发生,用户对于移动应用程序的信任度也在逐渐下降。本文将探讨移动应用数据安全性的重要性,并提供一些有效的技术措施来防止应用程序

    2024年02月08日
    浏览(61)
  • tomcat中虚拟主机以及web应用程序的配置

    1. 在tomcat里新建文件夹myapps,在里面添加ROOT文件,放入网站的首页文件 新建文本文档,输入你想要的内容我这里的内容是TOM.AI,把文本文档的名字改成index.htm 2. server.xml下每个host节点就代表一个主机,相当于一个网站。 用记事本打开tomcat的conf下的server.xml文件 搜索host name 在

    2024年03月13日
    浏览(54)
  • Servlet路径问题(“/“到底代表什么)-“web应用程序的根目录“与“web站点的根目录“

    JavaWeb——Servlet路径问题(\\\"/\\\"到底代表什么) 在JavaWeb中,使用路径时出现了大量的\\\"/“,而每次使用”“时都感觉其代表的含义是不同的,因此,本篇文章将汇总JavaWeb中的”\\\"出现情况及其所代表的含义。 了解这些\\\"/\\\"含义之前,先来了解绝对路径与相对路径的概念。 提前说一下

    2023年04月25日
    浏览(40)
  • 什么是Web3 ?它是如何工作的?

    Web3提供了一种潜在的解决方案,可以更容易地在万维网上找到内容的原始来源。我们将讨论Web 3是什么以及它是如何工作的。 万维网一直以来都是一个不受限制地创造和分享信息和思想的平台。虽然这让世界感觉更小,但它也有它的缺点,即难以确定内容的原始来源。这种不

    2024年01月25日
    浏览(44)
  • 如何在 2022 年为 Web 应用程序选择技术堆栈

    选择最佳的 Web 应用程序堆栈并非易事:它必须在资源和质量方面达到最佳。 Web 应用程序开发所需的质量、成本和时间将取决于您的选择。 这就是为什么选择技术堆栈可能需要比您预期更多的时间。 在本文中,我将帮助您选择最有效的 Web 开发技术栈。 我将解释哪些技术可

    2024年02月01日
    浏览(79)
  • PowerBI(一) : 如何将powerBI报表嵌入内部web应用程序?

    最近做了一个PowerBI报表嵌入内部web应用系统的项目,分享一下主要步骤以及踩坑记录。 微软官网完整教程这里:https://learn.microsoft.com/zh-cn/power-bi/developer/embedded/embedded-analytics-power-bi 以下是我自己总结的主要步骤(仅供大家参考): 1. 你要付费买一个powerBI的账号。 2. 用这个

    2023年04月24日
    浏览(49)
  • 1、《创建您自己的NFT集合并发布一个Web3应用程序来展示它们》什么是NFT

    我看到很多教程使都讲的比较复杂。所以,我会尽量保持简单。 NFT是一个人可以拥有的一种“token”,它链接到某个“数据”(例如,指向数字艺术、视频、图像等的链接)。NFT的诀窍在于,每个“token”都有一个唯一的标识符,让所有者证明它是独一无二的。稍后我们将看

    2024年02月14日
    浏览(49)
  • 什么是去中心化存储以及它是如何工作的

    正如我在上一篇文章中提到的,中心化是当今互联网的一个巨大问题。与隐私和审查相关的问题是引起关注的主要原因,但今天我们将更详细地研究去中心化存储的工作原理以及其他基于它的平台如何利用它。 传统的中心化存储一直很容易受到审查,原因是互联网目前使用中

    2024年02月11日
    浏览(46)
  • 什么是单页应用程序?如何选择及架构、优势和挑战

    单页面应用程序(Web应用程序或网站)仅加载单个页面。然后,当用户与Web服务器交互时,它使用从Web服务器获取的新内容重写页面,而不是为每次交互加载新页面。 单页面应用程序是一种网站解决方案,可以直接在浏览器中呈现JavaScript代码。它确保用户在浏览网站时不会重新

    2024年02月12日
    浏览(42)
  • Web3中文|什么是以太坊虚拟机(EVM),它是如何工作的?

    来源 | cointelegraph 编译 | Dali@iNFTnews.com 以太坊已成为仅次于比特币的第二重要区块链。以太坊能发展得这么好,它的原生Solidity编程语言和以太坊虚拟机(EVM)发挥了重要的作用。 以太坊区块链凭借自身拥有的灵活性、大量可用的开发工具和庞大的用户基础,继续吸引着去中

    2024年01月18日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包