3分钟了解网站入侵及防护问题

一、 从案例看一次网站攻击过程

  • 第一步: 找漏洞,利用扫描器找网站漏洞(找到入侵点)
  • 第二步: 利用漏洞入侵服务器,植入木马(挂后门,用于控制站点)
  • 第三步: 利用木马控制站点, 篡改网页,植入恶意链接等行为(达到攻击目的)
黑客暗地入侵200多个政务网站(时长:36s)

二、 网站被黑客成功入侵的原因

网站漏洞及不安全的配置是导致站点被入侵的最主要原因:

  • 站点存在漏洞:网站被入侵往往是因为站点存在漏洞,如,黑客利用漏洞成功入侵了号称最安全的美国FBI网站,控制网站站点,篡改FBI站点,并窃取了数据文件;
  • 不安全的配置:站点用户使用了弱密码,或网站管理员对网站安全设置不合理;
黑客利用漏洞入侵号称最安全的美国FBI网站

技术参考:<OWASP TOP 10 2017> 开源Web应用安全项目十项最严重的Web程序安全问题:

http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf


三、 规避网站安全问题

  • 从源头把控,严格审查站点程序,保障不存在缺陷问题,但是几乎无法实现
  • 事前发现漏洞,通过漏洞扫描等系统,主动发现缺陷,推动改进,实际操作上,难以有效规避网站安全问题
  • 部署防护,即部署专业WAF(Web应用防火墙),阻挡攻击入侵,可以有效减少网站安全事件发生
WAF是Web应用程序安全防护最常用也最有效的保护方案

四、 网站安全问题类型汇总

  • 漏洞暴露及Web攻击: 0day漏洞频发,业务版本发布周期快,导致业务漏洞暴露,容易被黑客利用入侵
  • 恶意篡改: 网站被入侵、挂马、篡改或植入恶意内容
  • CC攻击: 应用层DDoS攻击,对站点,尤其是访问需要大量数据操作的应用,如“查询“操作,耗应用层资源,导致站点业务访问缓慢
  • 数据泄露:黑客入侵并控制站点后,窃取站点机密数据
  • 爬虫问题:航空票务、在线购物、旅游出行、社保、招聘简历、网络社交等网站数据被恶意爬取,造成数据泄露风险或业务策略大打折扣
  • 域名劫持:黑客非法劫持域名,用户访问被劫持指向到伪造网页,一方面可能造成用户无法正常浏览业务网页,另一方面用户可能被诱骗到冒牌网站进行登录等操作导致大量用户隐私数据泄露
层出不穷的网站安全问题

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

什么是安全漏洞,黑客如何利用它攻击你?

你应该很清楚,软件中的安全漏洞或漏洞可能会导致你的计算机或网络遭到黑客攻击——换句话说,恶意的第三方将控制你的系统,安装恶意软件会窃取你的信息。 但是黑客究竟是...

31960
来自专栏企鹅号快讯

假日出行必备:专家解析如何在公共Wi-Fi网络下保护个人隐私

“用指尖改变世界” ? 对于外出的我们来说,公共Wi-Fi网络在很多方面都是很棒的。因为它是免费的,能够节省我们很多的移动数据流量,并且提供更快的下载速度。 然...

21650
来自专栏FreeBuf

金融行业平台常见安全漏洞与防御

? 一、前言 互联网金融是这两年来在金融界的新兴名词,也是互联网行业一个重要的分支,但互联网金融不是互联网和金融业的简单结合,而是在实现安全、移动等网络技术水...

33460
来自专栏BestSDK

0元买!买!买!支付平台再曝漏洞,JAVA SDK存在XXE攻击|附解决方法

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务...

13830
来自专栏鹅厂网事

谁动了我的域名

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下! 一...

41450
来自专栏信安之路

金融黑客的惯用手段 MITB

所谓的 MITB 技术就是 man-in-the-browser 的简称,也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

9500
来自专栏SAP最佳业务实践

SAP最佳业务实践:ETO–报价处理(232)-11根据客户新规范更改配置

image.png VA22根据客户新规范更改配置 向客户发送报价后,客户通知您他所需的更改。潜在客户需要的最终产品的数量有变化。 角色销售助理 后勤 ®销售和...

36970
来自专栏FreeBuf

多伦多大学:UC浏览器收集并发送用户隐私数据分析报告

0x01 问题概要 UC浏览器是中国和印度地区最为流行的web浏览器,也是全球第四大移动浏览器,仅次于chrome、Android浏览器和Safari浏览器,目...

51290
来自专栏FreeBuf

俄罗斯400多家工业企业遭遇网络钓鱼攻击

卡巴斯基实验室(Kaspersky Lab)ICS CERT发现了一系列带有恶意附件的网络钓鱼电子邮件,主要针对的是与工业生产相关的企业和机构。网络钓鱼电子邮件...

11340
来自专栏V站

当你360搜索引擎收录为0与1,被K时应该这么做?

在被360搜索引擎满收录的那些日子,突然有一天,许多站点都被K光(不包含新站),当然月宅酱的博客也不例外,被K了只有www一个首页,也没有拒绝360爬虫,更没有...

47720

扫码关注云+社区

领取腾讯云代金券