童岳

據(jù)調(diào)查，現(xiàn)在有將近40 %的網(wǎng)絡(luò)攻擊是針對電商的，其中有60 %是中小型電商，所以，電商網(wǎng)站網(wǎng)絡(luò)安全問題對于企業(yè)以及互聯(lián)網(wǎng)安全是一個嚴(yán)峻的挑戰(zhàn)。如何讓企業(yè)免受網(wǎng)絡(luò)攻擊？需要了解幾種常見的網(wǎng)絡(luò)攻擊形式，有了這些知識，才可以從根源抵御網(wǎng)絡(luò)攻擊。

1注入式的網(wǎng)絡(luò)攻擊

所謂注入式攻擊就是利用漏洞攻擊，通過注入漏洞實現(xiàn)網(wǎng)絡(luò)攻擊，而注入式漏洞攻擊在互聯(lián)網(wǎng)中是很常見的一種攻擊形式。注入式攻擊通常會導(dǎo)致數(shù)據(jù)丟失、數(shù)據(jù)損壞和訪問被拒絕，甚至?xí)绊慖SP企業(yè)在服務(wù)器托管方面的良好信譽(yù)，造成用戶對企業(yè)不信任，從而導(dǎo)致用戶流失。

解決辦法是通過使用安全的API，可以有效防止注入攻擊，如針對Apache的ModSecurity可以在SQL注入情況下提供幫助，讓W(xué)eb應(yīng)用程序更新。當(dāng)然，如果能夠找到一家主機(jī)托管服務(wù)提供商，隨時保證應(yīng)用程序最新版本就能很好地避免被注入攻擊。

2身份驗證式的網(wǎng)絡(luò)攻擊

看到這名字想必各位會想到通過渠道直接登錄網(wǎng)站服務(wù)器，而所用的登錄ID就是網(wǎng)站授權(quán)用戶，如網(wǎng)站管理員。當(dāng)然這只是最直接的辦法，大多數(shù)網(wǎng)站管理員都是有所防范的。另外一種就是攻擊者針對會話ID，通過多個請求跟蹤用戶，偷來的會話ID可以重復(fù)使用假冒熱門網(wǎng)站，如Fackbook和谷歌用戶。

我們知道攻擊者會通過暴露的賬號、弱口令、認(rèn)證或會話管理功能等缺陷的優(yōu)勢，冒充用戶。該如何應(yīng)對呢？避免從會話ID攻擊，需要建立一套強(qiáng)大的認(rèn)證和會話管理控制、安全通信和證書存儲。

3跨站點(diǎn)腳本式網(wǎng)絡(luò)攻擊

在網(wǎng)站設(shè)計之初，如果沒有經(jīng)過實踐檢驗，多少會留下一些漏洞，而跨站點(diǎn)腳本式攻擊就是利用了這些漏洞。攻擊者劫持用戶會話修改網(wǎng)站、插入惡意內(nèi)容，進(jìn)行網(wǎng)絡(luò)釣魚和惡意軟件的攻擊等，這一切是導(dǎo)致網(wǎng)站負(fù)面因素產(chǎn)生的原因。

跨站點(diǎn)腳本式網(wǎng)絡(luò)攻擊要如何應(yīng)對呢？最有效的方法，就是從跨站點(diǎn)腳本攻擊中保護(hù)應(yīng)用程序，包括正確轉(zhuǎn)義所有不可信數(shù)據(jù)和白名單輸入驗證，主機(jī)托管提供商可以幫你實現(xiàn)。此外，保持更新Web應(yīng)用程序，因為過時的應(yīng)用是最易受跨站點(diǎn)腳本攻擊的。