网站是一强大工具,能为你带来很多好处,也会为你和访客带来安全风险。过去,80%的网站存在漏洞,或者为企业和访客暴露恶意代码、病毒和其他网络犯罪活动。尽管网络上的每个人都小心翼翼,企业主承担保护数据安全的附加责任。维护网站和客户免受以下七大常见黑客攻击。' Y/ g( M" h, v4 q: R% w2 w9 S1 a
# L% W5 @" }6 Y; U3 q
& O0 S8 e l+ i' O3 t3 H6 f
. B( t t: R5 |/ s+ E 1、跨站脚本攻击' y: ~3 {9 B4 P/ `% w! W
/ _7 S0 s9 Z" ?, N4 W) _7 | 跨站脚本攻击(XSS)通常发生在黑客尝试在应用程序注入恶意代码,通过脚本传向毫无戒备之心的终端用户。黑客伪装成已知用户,为访客构建一个绊网,使用恶意脚本获取机密和个人信息。. j) O* i) r; q% Y. m
( _, x- k/ L0 c8 f. Q- J 2、DDOS攻击4 q" \4 F- ]! q" {9 W% r' I
) m( F* q9 H% |/ G! D- Y" L6 z; ]
DDOS攻击破坏服务器的正常运转能力。这些攻击利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令,直到最终网站崩溃。% k9 [& U% P: z. S! _8 f6 D& J2 ]
$ ` V+ m) O$ n+ D) W4 i 3、WordPress攻击
6 V3 b5 Y, c6 G) @( }, D. g: h5 X W/ F* b2 M; J+ W! g: q
WordPress攻击者利用代码漏洞或者插件缺点。蛮力攻击即黑客通过成千上万的密码组合试图进入,直到猜出正确的密码进入你的网站,这是WordPress网站一个众所周知的问题。一旦进入,他们改变权限,注入恶意代码,扰乱正常程序。: V# R, m+ w+ z& {, s
5 e5 ~" }1 X9 N2 R7 u6 L% _4 T 4、网络攻击
1 k0 W7 I; C ~6 K! n6 I8 K* v# I. i% M4 f& x6 m+ Q1 c8 w4 ?
网络攻击主要是欺骗访客点击一个按钮,进入特定信息,或者访问目标页面,寻找途径在伤害最大的的地方增添恶意内容。社交攻击非常难以控制。0 J: ?/ Q+ k! w2 q
( @" @" N. Q& `& V; F9 i7 x0 I 5、点击劫持
* _% }, x% n; X) t
/ Y/ A# {2 y+ v4 Q' ~; [% r 点击劫持是指攻击者使用不可见或不透页面架诱骗网站访客点击访问,触发一个脚本或一串恶意代码。) s2 U; l. Y! P. D7 W' {
! [ K5 S5 B1 b: f
6、域名服务器缓存污染
4 x+ z7 h5 f. I" w2 O
5 ^. o! A# s# N& u8 J; j 域名服务器缓存污染是指把合法服务器的流量转移到虚假网站和服务器,在网站或服务器之间进行自我复制。
5 f! H: q! P3 B" M+ G! E, a; Z( D9 f, u5 B
7、符号链接涉及网络罪犯) {1 H$ G& F) ?6 A
* |& v; k5 x( J7 ]/ F, X 符号链接涉及网络罪犯,通过破坏一个漏洞网站,获得root权限,访问整个服务器。一旦获得进入,他们可能会记下服务器上的所有网站。5 ] }+ E3 _; O! R- H+ {: K# r( D
9 t9 f, ?8 w3 I
如何保护网站安全?各种各样的黑客袭击扑面而来,应该怎么做去保护资产和信誉呢?% ?& s' Z4 S# L3 @$ {
: Y8 Q j, `" I; I- b# M. {" c+ L. F! B 建议
8 H3 F0 M2 B8 U, m6 Z% d8 F. j0 u) ~6 k6 k% ~" Q
1、快速更新所有软件和修补程序。软件更新能消除已知漏洞。; ]. g8 x! V/ D4 a
+ o U7 B+ K0 _% L% [! l 2、利用操作系统的安全特性,遵守严格的授权协议。! e6 P; Q6 R. }2 |7 l1 x
- v- V$ m( ^" _ 3、实施双重验证密码保护政策。
/ l: |! s7 A) c: E0 c7 G
4 p" }9 e' d) ~$ {9 y 4、锁上个人文档和文件夹,限制黑客进入网络。
- c( |7 b) ]) { O* N& h1 f+ @
7 Y9 [* m6 a0 S% d! U/ } 5、高度警惕所访问的网站,特别是利用管理员账号认证上网的时候。) ~- V& t' o* ]4 I, I0 z! k1 Y
+ y% R) R. m# a+ R
6、发布保密政策通知消费者你收集到的数据,以及打算如何处理数据。: u5 q' c4 R0 U& \4 Z7 t
2 |0 r2 l0 P9 d/ X# Z# B
7、部署新一代防火墙、沙箱技术和其他先进的安全协议,保护内外周界。
4 d ?" H0 Z5 v8 y( r
L! U4 o, Y( x) b 8、所有设备连接到您的网络,下载反间谍软件和杀毒软件。
) h! f/ n# H9 b9 t# R A, L, Q. k2 L+ |9 L
9、经常备份,不要忘记离线保存。" x0 X' U2 ~& @( v. V1 I
: N. p/ k+ o/ b( @3 e
不可* T4 c n% n' |+ t- K6 k! E( R t+ C
, r5 l; u( `" n6 c0 C
1、相信用户输入,拆卸所有 HTML,然后传送用户输入。/ W4 M5 K& v7 S) C4 W
8 \ |3 R* v. u* z- U# W( d" M 2、点击邮件中来源不明的链接或附件
6 H& T$ K6 Y+ e0 h/ U- `; z- X9 Q4 J& {" A/ N, B, {' t
3、点击来源可疑的弹出窗口(包括关闭网页)退出页面。
- c, J: J0 i5 z& Z' j* }
6 r# M/ N4 L* @" r3 u3 R m 4、使用免费下载(除非你确信来源可靠)8 Y/ G4 A% x5 O+ N
! e" ~3 ?5 R3 K, P/ W) ]; r 5、在没有显示SSL信号的网站购物。查看“左侧https”网址和地址栏中的绿色背景。
* P* h. p. Q, ?9 w
' r* w5 y: Z1 B4 D 6、提供暗示帮助黑客猜测密码和用户名。
# w( z; \4 ?9 p. y. q2 |( B( v6 X) q4 w
7、收集可能被劫持实施XSS方案的不必要数据。6 V% ~7 r% C4 G1 s9 \& o+ _
+ c4 \& R* S) ~" ^! U 如果你发现网站已经被黑客攻击,或者员工不小心下载了感染病毒的文件,立马采取以下措施:
6 {: X$ N. \" I( \6 {4 |& n
) H% | @; W1 Q 1、隔离问题
* v6 q) ^; ]2 L" _" n7 f7 u6 x( } Z- E2 M/ U: }
2、清除感染文档和文件夹
( R! N/ T0 |% j, G( n; J, A7 Y, Y7 m* t
3、下载工具清理文档,记住要在完全信任的网站或者推荐的可靠来源下载。
. c/ N5 h" K5 `6 s% ~% @
2 q# I! h* Y& ^& {0 ~* a8 Q$ D 4、不要找任何借口,尽快向客户坦白真实情况。解释发生了什么问题,告诉他们采取什么措施实施自我保护,让他们清楚的知道你正在努力减轻损害,预防未来隐患。
, R0 n# `- S1 u" j4 `2 b% W" s |
