對Web應用程序的攻擊類型

對Web應用程序的攻擊類型

  有針對性的攻擊是專門針對一個站點或其組的攻擊,由一種屬性(一家公司的站點或與某個活動領域相關的站點,或由許多標誌組成的站點)聯合在一起。這種攻擊的危險恰好在於“習慣”性質。通常,此類攻擊的實施者是在Web應用程序安全領域中具有較高資格的攻擊者。

  此類攻擊的目的通常是獲取機密信息,不道德的競爭對手或罪犯可利用這些信息牟取暴利。

  不適當的攻擊-這些攻擊實際上是為了“祝您好運”而進行的,無論受歡迎程度,業務規模,地理位置或行業如何,隨機網站都會成為攻擊的受害者。對站點的不當攻擊是試圖獲得對Web資源的未經授權的訪問的嘗試,在這種攻擊中,攻擊者沒有計劃入侵特定站點,而是立即攻擊按某種標準選擇的成百上千個資源。例如,在特定版本的內容管理係統上運行的站點。此類攻擊觸及“區域”,試圖以最低的成本覆蓋最大數量的站點。

  成功嘗試攻擊後,攻擊者嘗試利用此優勢:通過下載黑客腳本(後門,Web Shell),添加其他管理員,注入惡意代碼或從數據庫中獲取必要的信息來在站點上站穩腳跟防止數據泄漏(data leakage prevention)。

  有針對性的攻擊-通常秘密進行,達到目標。非目標攻擊非常“嘈雜”,通常無法實現其目標,但是,它們仍可能給Web資源所有者帶來很多問題。

  這有什麽威脅?

  首先,這對網站的性能構成了威脅。第二,但同樣重要的是用戶數據的安全性。從這些原因可以得出合乎邏輯的後果-公司的財務和聲譽損失。

  黑客使用您的網站來攻擊其他資源(作為參考橋頭堡)來發送垃圾郵件或進行DoS攻擊。您的網站被搜索引擎和瀏覽器阻止,您失去了用戶。

  在公司環境中對網站的攻擊可能是所謂的 公司公司網絡的入口點。

  對電子商務係統的攻擊可用於進行欺詐活動,竊取客戶群等。

  同樣,所有這些攻擊都可以旨在進一步“感染”站點用戶,例如使用所謂的“攻擊”。漏洞利用包-用於瀏覽器漏洞及其組件的漏洞利用工具,包括那些使用社會技術攻擊載體的工具網絡事件響應(cyber incident response)。

  攻擊性質

  對Web應用程序的攻擊的傳播與兩個主要因素相關:對站點安全的疏忽態度和對潛在攻擊者的低進入門檻。

  在大多數情況下,站點不使用特殊的檢測,監視和保護手段,也沒有負責任的人員也不知道對站點安全的威脅。很少注意代碼的質量和Web應用程序(和Web服務器)的安全配置。

  Web應用程序安全實用程序和掃描程序的激增對潛在攻擊者的門檻很低。眾多社區和“ okolohakerskie”論壇為攻擊技術在所有參與者中的傳播做出了貢獻。關於發現新漏洞或攻擊的技術方麵的廣泛且公平的操作性宣傳也有助於此。

  威脅預防

  在開發和維護網站時,您一定不要忘記遵守基本的安全措施:更新CMS及其組件;定期更改密碼;拒絕使用過時的協議;配置和使用HTTPS / HSTS。