专栏首页云基础安全3分钟了解网站入侵及防护问题
原创

3分钟了解网站入侵及防护问题

一、 从案例看一次网站攻击过程

  • 第一步: 找漏洞,利用扫描器找网站漏洞(找到入侵点)
  • 第二步: 利用漏洞入侵服务器,植入木马(挂后门,用于控制站点)
  • 第三步: 利用木马控制站点, 篡改网页,植入恶意链接等行为(达到攻击目的)
黑客暗地入侵200多个政务网站(时长:36s)

二、 网站被黑客成功入侵的原因

网站漏洞及不安全的配置是导致站点被入侵的最主要原因:

  • 站点存在漏洞:网站被入侵往往是因为站点存在漏洞,如,黑客利用漏洞成功入侵了号称最安全的美国FBI网站,控制网站站点,篡改FBI站点,并窃取了数据文件;
  • 不安全的配置:站点用户使用了弱密码,或网站管理员对网站安全设置不合理;
黑客利用漏洞入侵号称最安全的美国FBI网站

技术参考:<OWASP TOP 10 2017> 开源Web应用安全项目十项最严重的Web程序安全问题:

http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf


三、 规避网站安全问题

  • 从源头把控,严格审查站点程序,保障不存在缺陷问题,但是几乎无法实现
  • 事前发现漏洞,通过漏洞扫描等系统,主动发现缺陷,推动改进,实际操作上,难以有效规避网站安全问题
  • 部署防护,即部署专业WAF(Web应用防火墙),阻挡攻击入侵,可以有效减少网站安全事件发生
WAF是Web应用程序安全防护最常用也最有效的保护方案

四、 网站安全问题类型汇总

  • 漏洞暴露及Web攻击: 0day漏洞频发,业务版本发布周期快,导致业务漏洞暴露,容易被黑客利用入侵
  • 恶意篡改: 网站被入侵、挂马、篡改或植入恶意内容
  • CC攻击: 应用层DDoS攻击,对站点,尤其是访问需要大量数据操作的应用,如“查询“操作,耗应用层资源,导致站点业务访问缓慢
  • 数据泄露:黑客入侵并控制站点后,窃取站点机密数据
  • 爬虫问题:航空票务、在线购物、旅游出行、社保、招聘简历、网络社交等网站数据被恶意爬取,造成数据泄露风险或业务策略大打折扣
  • 域名劫持:黑客非法劫持域名,用户访问被劫持指向到伪造网页,一方面可能造成用户无法正常浏览业务网页,另一方面用户可能被诱骗到冒牌网站进行登录等操作导致大量用户隐私数据泄露
层出不穷的网站安全问题

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全服务:腾讯云专家服务ES

    腾讯云专家服务ES是由专业的安全专家团队提供安全咨询、渗透测试服务、应急响应、安全合规等服务,帮助用户在上云前,上云中,上云后获得合适的安全解决方案、发现潜在安...

    腾讯云基础安全
  • Web风险评估:腾讯云Web漏洞扫描

    Web 漏洞扫描是用于监测网站漏洞的安全服务,为企业提供 7*24 小时准确、全面的漏洞监测服务,并为企业提供专业的修复建议, 从而避免漏洞被黑客利用,影响网站...

    腾讯云基础安全
  • 3分钟了解DDoS攻击

    漫画DDoS攻击:恶霸意图勒索或被恶意竞争对手收买(攻击意图);其召集一大群混混进入面馆霸桌,占满面馆空间及服务员资源(攻击原理);导致正常食客无法进入面馆消费...

    腾讯云基础安全
  • 【连载】2016年中国网络空间安全年报(三)

    2016年中国网络空间安全年报 1.3. 站点安全事件分析 2016年国内依旧有部分重要站点被黑,出现此类事件意味着站点已被黑客成功入侵,相关站需要及时清除...

    安恒信息
  • dubbo(提供者、消费者)基于java的实现

    1、安装好jdk、zookeeper以后可以尝试开发代码进行dubbo的学习和练习。

    别先生
  • 《外卖骑手,困在系统里》:一场事先张扬的口诛笔伐

    早在那篇万字文章发布之前,其实有关外卖骑手生存状态的话题早就已经开始酝酿,只不过那些酝酿仅仅只是星星之火,并未形成燎原之势而已。

    孟永辉
  • Dubbo(五) Dubbo入门demo——helloworld

    前言 前面我已经介绍了dubbo的一些基本工具和知识,让大家简单的了解了下RPC框架和Dubbo。接下来就是重点了,Dubbo的helloworld项目。 ? ...

    生活创客
  • Dubbo配置方式详解

    Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的 RPC 远程服务调用方案,是阿里巴巴 SOA 服务化治理方案的核心框架,每天为 2,000+ 个服...

    陈树义
  • Dubbo入门-简易配置

    想看分布式的东西好久了,目前的公司用不到,只能自己去网上找相关的,看到最多的Dubbo,于是趁着今天有时间自己照着一些教程自己配置了个基础的demo,顺便放出来...

    汐楓
  • IntelliJ IDEA(2019)Maven聚合工程实现dubbo入门案例

      maven和dubbo在现在来说都是非常火的技术,本文就来记录下IntelliJ IDEA中通过maven的聚合工程来实现dubbo的入门案例

    用户4919348

扫码关注云+社区

领取腾讯云代金券