Web应用已成为黑客的主要攻击目标,75%的攻击针对Web应用。常见的Web安全风险包括信息泄露、权限提升等,攻击手段涵盖SQL注入、XSS、文件包含等。OWASP TOP 10列出最危险的Web漏洞,如注入、身份认证中断和敏感数据泄露等。安全措施的错误配置和使用已知漏洞的组件也构成重大威胁。
Web 已经在企业信息化、电子商务、电子政务中等得到广泛的应用,Web 的迅速发展同时,也带来了众多的安全威胁。
网络攻击重心已转向应用层, Web 已成为黑客首选攻击目标, 针对 Web 的攻击和破坏不断增长,据高盛统计数据表明,75% 的攻击是针对 Web 应用的。
然而,对于 Web 应用安全领域,很多企业还没有充分的认识、没有做好准备;许多开发人员也没有相应的经验,这给了黑客可乘之机。
2.1 Web 安全风险与趋势
最新发布的白帽 Web 安全统计报告显示,接受抽样调查网站达 3 万余个,负责撰写报告的首席研究员 Gabriel Gumbs 指出:没有哪一种开发语言或平台有着明显的安全性优势,从漏洞数量来看,大量网站使用的不同的开发语言之间并没有太大的差异,几个主要开发平台的漏洞数量基本处于同一个数量级。
2018 年夏季互联网发展状况安全报告关于 Web 攻击的报告指出,Web 攻击平均每天发生次数在 10 兆次左右,最高可到达 16 兆次以上;同时使用最广泛的攻击方式仍然集中在 SQL 注入、XSS、文件包含;在该报告覆盖的时间范围内,俄罗斯、中国和印度尼西亚是对旅游行业进行撞库攻击的主要来源国,其中半数的撞库活动都指向酒店、游轮公司、航空公司和旅游网站。中国和俄罗斯针对酒店行业和旅游行业的攻击流量加起来是来自美国的攻击流量的三倍。
- 通过入侵 Web 站点而产生的信息泄露事件越来越多。在网络大互联的今天,所有人都有各种私人敏感信息存留在网络中,而其中最多的又是用户自行在网站上注册并记录的,这也就给了黑客一个非常大的驱动力,窃取用户数据贩卖至黑产,使用户信息流向电话推销、电信诈骗等渠道
2.3 Web 攻击的常见目的
- 恶作剧;
- 关闭 Web 站点,拒绝正常服务;
- 篡改 Web 网页,损害企业名誉;
- 免费浏览收费内容;
最低0.47元/天 解锁文章
扫一扫
3621
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
