提示：文章寫完后，目錄可以自動(dòng)生成，如何生成可參考右邊的幫助文檔

前言

在過(guò)去幾年中，Web 應(yīng)用程序攻擊是一種日益嚴(yán)重的網(wǎng)絡(luò)安全威脅。 在2022 年全球網(wǎng)絡(luò)攻擊增加38%，估計(jì) 46％的網(wǎng)站 在應(yīng)用程序級(jí)別存在安全漏洞。

因此，您的網(wǎng)站很可能容易受到這種類型的攻擊，這就是為什么您必須了解 Web 應(yīng)用程序攻擊以及您可以采取哪些措施來(lái)防止它發(fā)生。

在這里，我們將了解您需要了解的有關(guān) Web 應(yīng)用程序攻擊以及如何防御它的所有信息。 然而，讓我們首先討論 Web 應(yīng)用程序攻擊的基本概念。

提示：以下是本篇文章正文內(nèi)容，下面案例可供參考

一、什么是 Web 應(yīng)用程序攻擊

要真正理解 Web 應(yīng)用程序攻擊的概念，我們必須了解“Web 應(yīng)用程序”的真正含義。
通俗地說(shuō)，Web 應(yīng)用程序或 Web 應(yīng)用程序是在 Web 服務(wù)器上運(yùn)行的程序/軟件，其訪問(wèn)方式與訪問(wèn)網(wǎng)站一樣。 現(xiàn)在大多數(shù)現(xiàn)代網(wǎng)站都由兩個(gè)不同的方面組成：網(wǎng)絡(luò)瀏覽器和至少一個(gè)網(wǎng)絡(luò)應(yīng)用程序。

正如我們所知，網(wǎng)絡(luò)瀏覽器是一種允許用戶與網(wǎng)頁(yè)交互并消費(fèi)內(nèi)容的應(yīng)用程序。 另一方面，網(wǎng)絡(luò)應(yīng)用程序是允許網(wǎng)站訪問(wèn)者通過(guò)該網(wǎng)絡(luò)瀏覽器提交和檢索數(shù)據(jù)的計(jì)算機(jī)程序。

網(wǎng)站可以使用從頭開始創(chuàng)建的全新 Web 應(yīng)用程序，也可以從第三方供應(yīng)商處購(gòu)買。 重要的是，在 Web 應(yīng)用程序攻擊期間，網(wǎng)絡(luò)安全威脅專門針對(duì)此 Web 應(yīng)用程序。

二、Web 應(yīng)用程序攻擊

如前所述，Web 應(yīng)用程序攻擊專門針對(duì) Web 應(yīng)用程序。 Web 應(yīng)用程序通常是 橋 Web 服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器之間。 因此，當(dāng) Web 應(yīng)用程序受到攻擊時(shí)，Web 服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器也可能會(huì)受到攻擊。
通常情況下，Web 應(yīng)用程序攻擊會(huì)以數(shù)據(jù)庫(kù)服務(wù)器為目標(biāo)，其中可能包含有價(jià)值的信息（用戶的銀行信息和個(gè)人數(shù)據(jù)）。

典型的 Web 應(yīng)用程序攻擊可以描述如下：

1. 攻擊者發(fā)現(xiàn) Web 應(yīng)用程序中的漏洞并通過(guò)端口 80 (HTTP) 和 443 (HTTPS) 向 Web 服務(wù)器發(fā)送攻擊
2. Web服務(wù)器收到惡意數(shù)據(jù)包但未能檢測(cè)為攻擊，因此服務(wù)器將數(shù)據(jù)包傳遞給Web應(yīng)用程序服務(wù)器
3. Web應(yīng)用服務(wù)器收到來(lái)自Web服務(wù)器的惡意代碼，再次檢測(cè)為惡意攻擊，發(fā)送至數(shù)據(jù)庫(kù)服務(wù)器
4. 最后，惡意代碼在到達(dá)數(shù)據(jù)庫(kù)服務(wù)器時(shí)被執(zhí)行。 例如，代碼指示數(shù)據(jù)庫(kù)返回包含用戶財(cái)務(wù)信息的數(shù)據(jù)
5. Web 應(yīng)用服務(wù)器按照數(shù)據(jù)庫(kù)服務(wù)器的指令從數(shù)據(jù)庫(kù)中生成包含銀行信息的頁(yè)面
6. 然后 Web 服務(wù)器向攻擊者顯示此包含銀行信息的頁(yè)面

但是，Web 應(yīng)用程序攻擊可以有多種形式，每種形式都可能需要不同的預(yù)防方法。

Web 應(yīng)用程序攻擊的常見(jiàn)類型以及如何預(yù)防它們

1.跨站點(diǎn)腳本（XSS）

跨站點(diǎn)腳本或 XSS 是最常見(jiàn)的 Web 應(yīng)用程序攻擊類型之一。 在 XSS 攻擊中，攻擊者將惡意 JavaScript 隱藏在客戶端代碼中。 每當(dāng)加載網(wǎng)頁(yè)時(shí)，就會(huì)加載此 JavaScript 代碼段。

防止 XSS：

1. 輸入驗(yàn)證： 驗(yàn)證來(lái)自 Web 應(yīng)用程序的輸入以防止不受信任的片段。 我們可以將已知的攻擊來(lái)源列入黑名單，只允許受信任的網(wǎng)站或來(lái)源。
2. 清理和轉(zhuǎn)義用戶輸入： 清理是修改來(lái)自 Web 應(yīng)用程序的輸入以確保其有效 逃逸 在將數(shù)據(jù)傳遞到數(shù)據(jù)庫(kù)服務(wù)器或 Web 服務(wù)器之前保護(hù)數(shù)據(jù)。

2. 本地文件包含 (LFI)

文件包含是一種在服務(wù)器端代碼中包含腳本的技術(shù)。 因此，攻擊者使用 LFI 來(lái)欺騙 Web 應(yīng)用程序以暴露 Web 服務(wù)器上的敏感文件。 成功的 LFI 之后可能會(huì)發(fā)生跨站點(diǎn)腳本和其他 Web 應(yīng)用程序攻擊。

LFI 利用這樣一個(gè)事實(shí)，即當(dāng) Web 應(yīng)用程序使用文件路徑作為輸入時(shí)，它總是被視為受信任的。 當(dāng)代碼易受攻擊時(shí)，可以通過(guò)此文件路徑注入 LFI。

防止 LFI：

1. 身份分配： 確保將文件路徑保存在安全的數(shù)據(jù)庫(kù)中，并為每個(gè)文件路徑標(biāo)識(shí)。 因此，用戶（和攻擊者）只能看到 ID 而不能查看路徑
2. 優(yōu)化服務(wù)器說(shuō)明： 確保服務(wù)器可以自動(dòng)發(fā)送下載頭而不是自動(dòng)執(zhí)行指定目錄中的文件
3. 白名單： 只使用經(jīng)過(guò)驗(yàn)證和列入白名單的文件

3. 目錄遍歷

目錄遍歷或路徑遍歷是指攻擊者可以訪問(wèn) web 根目錄之外的 web 上的受限目錄。 然后攻擊者可以通過(guò)訪問(wèn)系統(tǒng)文件、運(yùn)行操作系統(tǒng)命令等方式發(fā)起其他 Web 應(yīng)用程序攻擊。

防止目錄遍歷：

1. Web 應(yīng)用程序應(yīng)始終在處理任何指令之前驗(yàn)證用戶輸入
   驗(yàn)證輸入后，Web 應(yīng)用程序應(yīng)將輸入附加到基本目錄并檢查文件路徑。 API 應(yīng)驗(yàn)證文件路徑是否以正確的基本目錄開頭

自動(dòng)化應(yīng)用程序級(jí) DDoS

DDoS（分布式拒絕服務(wù)）攻擊可能在 Web 應(yīng)用程序級(jí)別執(zhí)行，主要通過(guò)在機(jī)器人和僵尸網(wǎng)絡(luò)的幫助下發(fā)送重復(fù)指令來(lái)完成。

預(yù)防：自動(dòng)化應(yīng)用程序級(jí) DDoS

適當(dāng)?shù)?Web 應(yīng)用程序防火墻以及 CAPTCHA 可能有助于防御基本的機(jī)器人活動(dòng)。 但是，復(fù)雜的機(jī)器人以及 CAPTCHA 農(nóng)場(chǎng)服務(wù)的存在可能會(huì)使這些方法變得無(wú)用

總結(jié)

在當(dāng)今不斷發(fā)展的 Web 應(yīng)用程序攻擊中，每個(gè)企業(yè)和在線實(shí)體考慮并采用明確的保護(hù)策略變得越來(lái)越重要。 主動(dòng)找出保護(hù) Web 應(yīng)用程序端的最佳方法，并確保始終驗(yàn)證來(lái)自 Web 應(yīng)用程序服務(wù)器的輸入。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-498142.html

到了這里，關(guān)于Web 應(yīng)用程序攻擊：它是什么以及如何防御它？的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！