俗話說(shuō)得好：知己知彼百戰(zhàn)百勝!想要避免網(wǎng)站遭受攻擊，我們需要對(duì)安全攻擊手段進(jìn)行一定的了解,，針對(duì)性的采取防護(hù)措施，才能更好的保護(hù)網(wǎng)站安全,。本文為大家介紹10種常見(jiàn)的網(wǎng)站安全攻擊手段，一起來(lái)了解一下吧,。

　　1、跨站腳本(XSS)

　　Precise Security近期的一項(xiàng)研究表明,，跨站腳本攻擊大約占據(jù)了所有攻擊的40%,，是最為常見(jiàn)的一類網(wǎng)絡(luò)攻擊。但盡管最為常見(jiàn),，大部分跨站腳本攻擊卻不是特別高端，多為業(yè)余網(wǎng)絡(luò)罪犯使用別人編寫的腳本發(fā)起的,。

　　跨站腳本針對(duì)的是網(wǎng)站的用戶，而不是Web應(yīng)用本身,。惡意黑客在有漏洞的網(wǎng)站里注入一段代碼,，然后網(wǎng)站訪客執(zhí)行這段代碼,。此類代碼可以入侵用戶賬戶，激活木馬程序,，或者修改網(wǎng)站內(nèi)容,，誘騙用戶給出私人信息。設(shè)置web應(yīng)用防火墻可以保護(hù)網(wǎng)站不受跨站腳本攻擊危害,，它就像個(gè)過(guò)濾器，能夠識(shí)別并阻止對(duì)網(wǎng)站的惡意請(qǐng)求,。

　　2、注入攻擊

　　注入攻擊方法直接針對(duì)網(wǎng)站和服務(wù)器的數(shù)據(jù)庫(kù),。執(zhí)行時(shí),，攻擊者注入一段能夠揭示隱藏?cái)?shù)據(jù)和用戶輸入的代碼,，獲得數(shù)據(jù)修改權(quán)限，全面俘獲應(yīng)用,。

　　保護(hù)網(wǎng)站不受注入攻擊危害，主要落實(shí)到代碼庫(kù)構(gòu)建上,。比如說(shuō)，緩解SQL注入風(fēng)險(xiǎn)的首選方法就是始終盡量采用參數(shù)化語(yǔ)句,。更進(jìn)一步,，可以考慮使用第三方身份驗(yàn)證工作流來(lái)外包你的數(shù)據(jù)庫(kù)防護(hù)。

　　3,、模糊測(cè)試

　　開(kāi)發(fā)人員使用模糊測(cè)試來(lái)查找軟件、操作系統(tǒng)或網(wǎng)絡(luò)中的編程錯(cuò)誤和安全漏洞,。然而，攻擊者可以使用同樣的技術(shù)來(lái)尋找你的網(wǎng)站或服務(wù)器上的漏洞,。

　　采用模糊測(cè)試方法，攻擊者首先向應(yīng)用輸入大量隨機(jī)數(shù)據(jù)讓應(yīng)用崩潰,。下一步就是用模糊測(cè)試工具發(fā)現(xiàn)應(yīng)用的弱點(diǎn),。如果目標(biāo)應(yīng)用中存在漏洞,，攻擊者即可展開(kāi)進(jìn)一步漏洞利用。

　　4,、零日攻擊

　　零日攻擊是模糊攻擊的擴(kuò)展，但不要求識(shí)別漏洞本身,。此類攻擊最近案例是谷歌發(fā)現(xiàn)的，他們?cè)赪indows和chrome軟件中發(fā)現(xiàn)了潛在的零日攻擊,。

　　在兩種情況下，惡意黑客能夠從零日攻擊中獲利,。第一種情況是,，如果能夠獲得關(guān)于即將到來(lái)的安全更新的信息,，攻擊者就可以在更新上線前分析出漏洞的位置。第二種情況是,，網(wǎng)絡(luò)罪犯獲取補(bǔ)丁信息,，然后攻擊尚未更新系統(tǒng)的用戶。這兩種情況下,，系統(tǒng)安全都會(huì)遭到破壞,，至于后續(xù)影響程度,，就取決于黑客的技術(shù)了。

　　5,、路徑(目錄)遍歷

　　路徑遍歷攻擊針對(duì)web root文件夾,，訪問(wèn)目標(biāo)文件夾外部的未授權(quán)文件或目錄。攻擊者試圖將移動(dòng)模式注入服務(wù)器目錄,，以便向上爬升。成功的路徑遍歷攻擊能夠獲得網(wǎng)站訪問(wèn)權(quán),，染指配置文件,、數(shù)據(jù)庫(kù)和同一實(shí)體服務(wù)器上的其他網(wǎng)站和文件,。

　　網(wǎng)站能否抵御路徑遍歷攻擊取決于你的輸入凈化程度。這意味著保證用戶輸入安全,，并且不能從你的服務(wù)器恢復(fù)出用戶輸入內(nèi)容,。最直觀的建議就是打造你的代碼庫(kù)，這樣用戶的任何信息都不會(huì)傳輸?shù)轿募到y(tǒng)API,。

　　6、分布式拒絕服務(wù)

　　DDoS旨在用請(qǐng)求洪水壓垮目標(biāo)web服務(wù)器,，讓其他訪客無(wú)法訪問(wèn)網(wǎng)站。僵尸網(wǎng)絡(luò)通常能夠利用之前感染的計(jì)算機(jī)從全球各地協(xié)同發(fā)送大量請(qǐng)求,。而且,，DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDoS攻擊吸引安全系統(tǒng)火力,，從而暗中利用漏洞入侵系統(tǒng)。

　　保護(hù)網(wǎng)站免遭DDoS攻擊侵害一般要從幾個(gè)方面著手,。首先,，需通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò),、負(fù)載均衡器和可擴(kuò)展資源緩解高峰流量。其次,，需部署web應(yīng)用防火墻,，防止DDoS攻擊隱蔽注入攻擊或跨站腳本等其他網(wǎng)絡(luò)攻擊方法,。

　　7、中間人攻擊

　　中間人攻擊常見(jiàn)于用戶與服務(wù)器間傳輸數(shù)據(jù)不加密的網(wǎng)站,。作為用戶，只要看看網(wǎng)站的URL是不是以HTTPS開(kāi)頭就能發(fā)現(xiàn)這一潛在風(fēng)險(xiǎn)了,，因?yàn)镠TTPS中的S指的就是數(shù)據(jù)是加密的，缺了s就是未加密,。

　　攻擊者利用中間人類型的攻擊收集信息，通常是敏感信息,。數(shù)據(jù)在雙方之間傳輸時(shí)可能遭到惡意黑客攔截,，如果數(shù)據(jù)未加密,，攻擊者就能輕易讀取個(gè)人信息、登錄信息或其他敏感信息,。

　　在網(wǎng)站上安裝安全套接字層就能緩解中間人攻擊風(fēng)險(xiǎn)。SSL證書加密各方間傳輸?shù)男畔?，攻擊者即使攔截到了也無(wú)法輕易破解。

　　8,、暴力破解攻擊

　　暴力破解攻擊是獲取web應(yīng)用登錄信息相當(dāng)直接的一種方式,。但同時(shí)也是非常容易緩解的攻擊方式之一,，尤其是從用戶側(cè)加以緩解最為方便。

　　暴力破解攻擊中,，攻擊者試圖猜解用戶名和密碼對(duì)，以便登錄用戶賬戶,。當(dāng)然，即使采用多臺(tái)計(jì)算機(jī),，除非密碼相當(dāng)簡(jiǎn)單且明顯，否則破解過(guò)程可能需耗費(fèi)幾年時(shí)間,。

　　9,、使用未知代碼或第三方代碼

　　盡管不是對(duì)網(wǎng)站的直接攻擊,，使用由第三方創(chuàng)建的未經(jīng)驗(yàn)證代碼，也可能導(dǎo)致嚴(yán)重的安全漏洞,。

　　代碼或應(yīng)用的原始創(chuàng)建者可能會(huì)在代碼中隱藏惡意字符串，或者無(wú)意中留下后門,。一旦將受感染的代碼引入網(wǎng)站,，那你就會(huì)面臨惡意字符串執(zhí)行或后門遭利用的風(fēng)險(xiǎn),。其后果可以從單純的數(shù)據(jù)傳輸直到網(wǎng)站管理權(quán)限陷落。

　　想要避免圍繞潛在數(shù)據(jù)泄露的風(fēng)險(xiǎn),，請(qǐng)讓你的開(kāi)發(fā)人員分析并審計(jì)代碼的有效性。

　　10,、網(wǎng)絡(luò)釣魚(yú)

　　網(wǎng)絡(luò)釣魚(yú)是另一種沒(méi)有直接針對(duì)網(wǎng)站的攻擊方法，但我們不能將它排除在名單之外,，因?yàn)榫W(wǎng)絡(luò)釣魚(yú)也會(huì)破壞你系統(tǒng)的完整性。

　　網(wǎng)絡(luò)釣魚(yú)攻擊用到的標(biāo)準(zhǔn)工具就是電子郵件,。攻擊者通常會(huì)偽裝成其他人，誘騙受害者給出敏感信息或執(zhí)行銀行轉(zhuǎn)賬,。此類攻擊可以是古怪的419騙局，或者涉及假冒電子郵件地址、貌似真實(shí)的網(wǎng)站和極具說(shuō)服力用語(yǔ)的高端攻擊,。后者以魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)之名廣為人知,。