你是不是經(jīng)常有這樣的疑惑：“網(wǎng)站剛才還好好的，怎么突然登不上去了？”“為什么我每天訪問的公司網(wǎng)站，一夜之間就被亂碼取代了？”每當出現(xiàn)這些情況，網(wǎng)速和網(wǎng)站技術(shù)維護人員都成了默默的“背鍋俠”。
其實，這也不能全怪他們，真正的幕后黑手，可能是網(wǎng)絡(luò)黑客。
我們都知道，企業(yè)網(wǎng)站目前是企業(yè)信息系統(tǒng)建設(shè)的重要組成部分，然而企業(yè)網(wǎng)站除了能帶來更好的推廣宣傳效果，也伴隨著許多安全風(fēng)險，如黑客攻擊、網(wǎng)頁纂改等問題，會嚴重影響企業(yè)的業(yè)務(wù)開展和企業(yè)形象，造成極壞的社會影響及聲譽影響。
一、網(wǎng)站的安全威脅
目前較為常見的Web應(yīng)用安全威脅主要有以下幾種：
1、DDOS攻擊
DDoS分布式拒絕服務(wù)是最常見的網(wǎng)絡(luò)攻擊之一。攻擊者控制大量主機對互聯(lián)網(wǎng)上的目標進行攻擊，占用服務(wù)器資源，導(dǎo)致業(yè)務(wù)中斷，造成客戶直接經(jīng)濟損失同時也對企業(yè)的聲譽造成不同程度的影響。而多數(shù)客戶經(jīng)驗不足，對DDoS攻擊威脅無計可施。
2、Web漏洞利用
由于網(wǎng)站應(yīng)用開發(fā)的不規(guī)范性及開發(fā)者水平所限，任何網(wǎng)站應(yīng)用都會存在漏洞。攻擊者利用Web應(yīng)用存在的漏洞缺陷，避開網(wǎng)站系統(tǒng)的身份驗證，并將惡意程序傳遞給執(zhí)行服務(wù)終端，使服務(wù)器執(zhí)行錯誤命令，或誘導(dǎo)用戶對上傳的文件進行瀏覽與下載，導(dǎo)致Web網(wǎng)頁篡改、掛馬，甚至網(wǎng)站后臺服務(wù)及數(shù)據(jù)庫被控制，造成敏感數(shù)據(jù)泄露或托庫。
3、SQL注入
SQL注入漏洞攻擊是OWASP TOP10中發(fā)生頻率非常高的漏洞利用攻擊，該攻擊主要是指攻擊者在 Web表單遞交查詢字符串或者頁面請求查詢字符串或者輸入域名查詢字符串中插入SQL命令，以欺騙應(yīng)用服務(wù)器的方式進行惡意SQL命令執(zhí)行，給網(wǎng)站應(yīng)用造成敏感數(shù)據(jù)泄露，數(shù)據(jù)庫數(shù)據(jù)丟失或托庫等嚴重影響。
4、XSS-跨站腳本攻擊
XSS攻擊也是OWASP TOP10中發(fā)生頻率非常高的一種攻擊行為。通常情況下，攻擊者利用web應(yīng)用存在的XSS漏洞將惡意代碼置入到其他用戶所使用的頁面中，使用戶在進行網(wǎng)頁瀏覽時會點擊到插入其中的連接，從而為攻擊者提供信息盜取契機。
5、CSRF-跨站請求偽造攻擊
CSRF攻擊又被稱之為“one-click attack”或者是“session riding”。攻擊者通過偽裝收信人用戶請求對網(wǎng)站進行惡意利用，使用戶在已登錄頁面中執(zhí)行非自主意愿的操作。相對于跨站腳本攻擊而言，其危險性更強，也更難防范。
6網(wǎng)頁篡改與掛馬
Web網(wǎng)頁篡改掛馬攻擊通常是利用網(wǎng)站存在的漏洞，對網(wǎng)站應(yīng)用后臺進行提權(quán)操作，然后對Web頁面內(nèi)容進行篡改或植入木馬暗鏈。一旦木馬程序運行，將可能完全控制網(wǎng)站后臺服務(wù)，從而獲得敏感數(shù)據(jù)，甚至對網(wǎng)站進行破壞，或利用已被控制的網(wǎng)站應(yīng)用為跳板對其它網(wǎng)站，業(yè)務(wù)系統(tǒng)或服務(wù)器進行攻擊。
二、網(wǎng)站安全威脅的防護措施
那么，該如何解決企業(yè)網(wǎng)站安全防護問題呢？采取什么措施才適合網(wǎng)站安全防護建設(shè)需要呢？
1、事前分析預(yù)防階段
這個階段主要是針對待上線的網(wǎng)站W(wǎng)eb應(yīng)用，進行全面的安全評估，參照OWASP TOP10對網(wǎng)站W(wǎng)eb應(yīng)用進行全面檢測，可以使企業(yè)管理人員充分了解Web應(yīng)用存在的安全隱患，建立安全可靠的Web應(yīng)用服務(wù)，改善并提升網(wǎng)站應(yīng)用對抗各類Web應(yīng)用攻擊的能力。安全評估的內(nèi)容主要包括漏洞掃描、配置核查、滲透測試、源代碼審計等。
2、事中監(jiān)測防護階段
這個階段主要是采取有效的安全防護措施，針對網(wǎng)站的各類攻擊行為及異常訪問行為進行實時的監(jiān)測和防護，對于發(fā)現(xiàn)攻擊實時阻斷，并通過告警通知企業(yè)安全管理員，以便于快速處理安全事件。這一階段的防護措施可以分為網(wǎng)絡(luò)層安全防護和應(yīng)用層安全防護兩個部分。
3、事后優(yōu)化階段
在網(wǎng)站安全防護的事后階段，通過安全設(shè)備日志及告警信息，對攻擊源進行定位，分析攻擊路徑，找出引發(fā)攻擊的網(wǎng)站脆弱點，有針對性的對網(wǎng)站安全防護策略進行優(yōu)化，改善安全防護措施，加固企業(yè)網(wǎng)站系統(tǒng)。
最后，針對網(wǎng)站安全防護措施的優(yōu)化和完善提供以下建議：
① 企業(yè)應(yīng)定期對網(wǎng)站進行全面的安全評估，并且針對安全評估結(jié)果對網(wǎng)站實施安全加固；
② 建立和完善可落地的網(wǎng)站安全管理制度，規(guī)范企業(yè)網(wǎng)站的日常運維管理和操作。
③ 建立和完善有效的應(yīng)急響應(yīng)預(yù)案和流程，并定期進行應(yīng)急演練，做到當發(fā)生異常狀況時能夠及時有效的進行處置和恢復(fù)，避免網(wǎng)站業(yè)務(wù)中斷給企業(yè)帶來損失。
④ 定期對相關(guān)管理人員和技術(shù)人員進行安全培訓(xùn)，提高安全技術(shù)能力和實際操作能力。