应对app或者网站常见几种攻击类型方法

引言

在今天的数字时代，随着手机应用程序（APP）的快速发展，应用程序的安全性问题变得尤为突出。黑客和恶意攻击者利用各种方法试图攻击和利用应用程序的弱点，窃取用户数据、破坏应用程序或者获取非法利益。为了防止应用程序被攻击，开发者和企业需要采取一系列综合的防御策略。知己知彼百战不殆，当今网络时代，了解自己面对着何种威胁比以往任何时候都来得更为重要。每种恶意攻击都有自己的特性，不同类型的攻击那么多，似乎不太可能全方位无死角抵御全部攻击。但我们仍然可以做许多工作来保护网站，缓解恶意黑客对网站造成的风险。本文将针对应用程序的安全性问题，介绍几种常见的主要攻击类型，并提供全方位的防御措施。

1、Distributed Denial of Service(DDoS)攻击

DDoS攻击本身不能使恶意黑客突破安全措施，但会令网站暂时或永久掉线。DDoS旨在用请求洪水压垮目标Web服务器，让其他访客无法访问网站。僵尸网络通常能够利用之前感染的计算机从全球各地协同发送大量请求。而且，DDoS攻击常与其他攻击方法搭配使用；攻击者利用DDoS攻击吸引安全系统火力，从而暗中利用漏洞入侵系统。

保护网站免遭DDoS攻击侵害一般要从几个方面着手。部署防DDoS设备，如Web应用防火墙（WAF）。使用内容分发网络（CDN）分散和缓存流量。利用云服务供应商提供的DDoS防护服务。实施速率限制，以限制每个IP地址的连接数量。配置网络设备，阻止泛洪ICMP和SYN请求。

2、SQL注入攻击

开放Web应用安全项目（OWASP）新出炉的十大应用安全风险研究中，注入漏洞被列为网站最高风险因素。也是网络罪犯最常用的注入手法。它直接针对网站和服务器的数据库。执行时，攻击者注入一段能够揭示隐藏数据和用户输入的代码，获得数据修改权限，全面俘获应用。

保护网站不受注入攻击危害，主要落实到代码库构建上。比如说，缓解SQL注入风险的首选方法就是始终尽量采用参数化语句。使用参数化查询和预编译语句来对数据库查询进行有效的输入验证。对所有用户输入进行验证和筛选。使用最小权限原则来限制对数据库的访问。定期更新和修补数据库软件以及关联的工具库。

3、跨站脚本 (XSS)攻击

Precise Security是最为常见的一类网络攻击。但尽管最为常见，大部分跨站脚本攻击却不是特别高端，多为业余网络罪犯使用别人编写的脚本发起的。跨站脚本针对的是网站的用户，而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码，然后网站访客执行这段代码。此类代码可以入侵用户账户，激活木马程序，或者修改网站内容，诱骗用户给出私人信息。

被这类攻击后，你需要设置Web应用防火墙（WAF），WAF就像个过滤器，对所有用户输入进行适当的验证和过滤，能够识别并阻止对网站的恶意请求。另外使用安全的编码方法，如实体编码，来输出动态内容。同时利用内容安全策略（CSP）来限制可执行的脚本，启用浏览器内置的XSS过滤功能。