安全專(zhuān)家預(yù)計(jì),到 2025 年,全球網(wǎng)絡(luò)犯罪成本將達(dá)到每年 10.5 萬(wàn)億美元。僅在美國(guó),數(shù)據(jù)泄露的平均成本就已經(jīng)超過(guò) 900 萬(wàn)美元,這讓企業(yè)主感到焦慮。雖然云采用解決了擴(kuò)展、定制以及基礎(chǔ)設(shè)施維護(hù)和交付問(wèn)題,但保護(hù) Web 資產(chǎn)是在線業(yè)務(wù)的主要關(guān)注點(diǎn)。這是保護(hù)您的業(yè)務(wù)、客戶和交易免受黑客攻擊的指南。
7個(gè)網(wǎng)站安全清單
1.掃描網(wǎng)站的弱點(diǎn)
Gartner Group 估計(jì)超過(guò) 70% 的違規(guī)行為發(fā)生在應(yīng)用層。Web 應(yīng)用程序服務(wù)于眾多客戶和客戶。顯然,黑客在瞄準(zhǔn)應(yīng)用程序以破壞關(guān)鍵業(yè)務(wù)流程方面有更高的動(dòng)機(jī)。自動(dòng)Web 應(yīng)用程序掃描是查找黑客可能針對(duì)的網(wǎng)站安全漏洞的最有效方法。這是保護(hù)商業(yè)網(wǎng)站的第一步。
AppTrana 基本掃描(永久免費(fèi)):提供每?jī)芍芤淮蔚陌踩珤呙瑁圆檎襉WASP 前 10 名和 SANS 前 25 名漏洞。您最多可以掃描網(wǎng)站的 250 個(gè)頁(yè)面,并接收有關(guān) XSS、SQL 注入等安全問(wèn)題的詳細(xì)報(bào)告。
2.保持軟件更新
這是顯而易見(jiàn)的,但卻被忽視了。軟件補(bǔ)丁在保護(hù)您的網(wǎng)站免受黑客攻擊方面發(fā)揮著至關(guān)重要的作用。這適用于您存儲(chǔ)桶中的所有內(nèi)容,包括服務(wù)器操作系統(tǒng)、CMS 和公司使用的其他軟件。當(dāng)在第三方應(yīng)用程序中發(fā)現(xiàn)網(wǎng)站安全漏洞時(shí),黑客會(huì)針對(duì)所有使用該軟件易受攻擊版本的網(wǎng)站。
許多開(kāi)發(fā)人員以交付期限為由推遲更新。大規(guī)模的“WannaCrypt”勒索軟件攻擊是攻擊至少 150 個(gè)國(guó)家的計(jì)算機(jī)癱瘓并造成價(jià)值 40 億美元損失的一個(gè)例子。
3.驗(yàn)證用戶數(shù)據(jù)
允許用戶向您的服務(wù)器發(fā)送或上傳任何內(nèi)容是一個(gè)巨大的安全漏洞。從業(yè)務(wù)的角度來(lái)看,交互界面是高效的,但風(fēng)險(xiǎn)很高。即使是用戶名字段中的簡(jiǎn)單未清理字符串或圖像部分中的文件上傳也可能導(dǎo)致服務(wù)器停機(jī)。
您需要非常懷疑地對(duì)待所有用戶輸入,并確保只接受預(yù)定的輸入格式。確保您的防火墻阻止了各種可執(zhí)行文件和其他用戶輸入。此外,完全禁止對(duì)服務(wù)器的物理訪問(wèn)。
4.定期進(jìn)行滲透測(cè)試
業(yè)務(wù)應(yīng)用程序很復(fù)雜。后端/前端服務(wù)器和 API 中有幾個(gè)變量設(shè)置是您的業(yè)務(wù)獨(dú)有的。自動(dòng)掃描工具有其局限性,特別是如果您的應(yīng)用程序建立在不同的邏輯之上。
- 電子商務(wù)網(wǎng)站允許用戶將商品添加到他們的購(gòu)物車(chē),查看摘要頁(yè)面,然后付款。如果他們可以返回摘要頁(yè)面,保持相同的有效會(huì)話并為項(xiàng)目注入較低的成本并完成付款交易,該怎么辦?
- 用戶可以在他們的購(gòu)物車(chē)中無(wú)限持有一件物品并阻止其他人購(gòu)買(mǎi)它嗎?
- 用戶能否以折扣價(jià)鎖定購(gòu)物車(chē)中的商品并在幾個(gè)月后購(gòu)買(mǎi)?
- 如果用戶通過(guò)忠誠(chéng)度賬戶預(yù)訂商品并獲得忠誠(chéng)度積分但在交易完成之前取消怎么辦?
手動(dòng)滲透測(cè)試或道德黑客攻擊復(fù)制了黑客所做的所有嘗試。他們花費(fèi)數(shù)小時(shí)尋找會(huì)損害應(yīng)用程序功能的弱點(diǎn),并向開(kāi)發(fā)人員提出修復(fù)建議。
5.使用HTTPS
安全的 HTTP 連接可防止黑客侵入您的網(wǎng)站與用戶之間的通信。使用非 HTTPS 通信,攻擊者可以誘騙用戶提供敏感信息或向服務(wù)器發(fā)送惡意軟件/可執(zhí)行代碼。如果您的業(yè)務(wù)應(yīng)用程序處理支付信息等敏感數(shù)據(jù),您將不得不投資購(gòu)買(mǎi)高質(zhì)量的SSL 證書(shū),以強(qiáng)制所有網(wǎng)站的加密協(xié)議與瀏覽器通信。
6.部署 Web 應(yīng)用程序防火墻 (WAF)
根據(jù) Web 應(yīng)用安全統(tǒng)計(jì)報(bào)告,平均 146 天修復(fù)關(guān)鍵漏洞。這是黑客嘗試不同攻擊方法的五個(gè)月。更改它以保護(hù)您的網(wǎng)站。Web應(yīng)用程序防火墻 (WAF) 旨在虛擬修補(bǔ)應(yīng)用程序弱點(diǎn)(OWASP Top 10 和 SANS 25),同時(shí)監(jiān)控和過(guò)濾流量。也稱(chēng)為第 7 層防火墻,它可以阻止利用跨站點(diǎn)偽造、跨站點(diǎn)腳本 (XSS)、文件包含和 SQL 注入的攻擊,而無(wú)需更改應(yīng)用程序的開(kāi)發(fā)/代碼。
AppTrana WAF(14 天試用):現(xiàn)代 Web 應(yīng)用程序防火墻提供與掃描同步的托管安全性。AppTrana修補(bǔ)漏洞以阻止和監(jiān)控攻擊。它是一種智能防火墻,可以從頻繁的攻擊模式中學(xué)習(xí)并立即接受自定義阻止或記錄規(guī)則。
7.監(jiān)控流量激增
分布式拒絕服務(wù) (DDoS) 攻擊使用 多個(gè)受損系統(tǒng)或其他網(wǎng)絡(luò)資源來(lái)壓倒在線服務(wù),使其不可用。任何網(wǎng)站都可能受到 DDoS 攻擊。監(jiān)控虛假流量激增并在損壞之前阻止機(jī)器人是管理 DDoS 攻擊的唯一方法。建議定期驗(yàn)證您的網(wǎng)絡(luò)和應(yīng)用程序的安全性能。
使用此網(wǎng)站安全清單確保網(wǎng)站安全
- 使用 AppTrana Free 掃描它
- 更新所有軟件
- 請(qǐng)求滲透測(cè)試
- 安裝 SSL
- 通過(guò) WAF 路由流量
