引言

在今天的數(shù)字時代，隨著手機應(yīng)用程序（APP）的快速發(fā)展，應(yīng)用程序的安全性問題變得尤為突出。黑客和惡意攻擊者利用各種方法試圖攻擊和利用應(yīng)用程序的弱點，竊取用戶數(shù)據(jù)、破壞應(yīng)用程序或者獲取非法利益。為了防止應(yīng)用程序被攻擊，開發(fā)者和企業(yè)需要采取一系列綜合的防御策略。知己知彼百戰(zhàn)不殆，當今網(wǎng)絡(luò)時代，了解自己面對著何種威脅比以往任何時候都來得更為重要。每種惡意攻擊都有自己的特性，不同類型的攻擊那么多，似乎不太可能全方位無死角抵御全部攻擊。但我們?nèi)匀豢梢宰鲈S多工作來保護網(wǎng)站，緩解惡意黑客對網(wǎng)站造成的風險。本文將針對應(yīng)用程序的安全性問題，介紹幾種常見的主要攻擊類型，并提供全方位的防御措施。

1、Distributed Denial of Service(DDoS)攻擊

DDoS攻擊本身不能使惡意黑客突破安全措施，但會令網(wǎng)站暫時或永久掉線。DDoS旨在用請求洪水壓垮目標Web服務(wù)器，讓其他訪客無法訪問網(wǎng)站。僵尸網(wǎng)絡(luò)通常能夠利用之前感染的計算機從全球各地協(xié)同發(fā)送大量請求。而且，DDoS攻擊常與其他攻擊方法搭配使用；攻擊者利用DDoS攻擊吸引安全系統(tǒng)火力，從而暗中利用漏洞入侵系統(tǒng)。

保護網(wǎng)站免遭DDoS攻擊侵害一般要從幾個方面著手。部署防DDoS設(shè)備，如Web應(yīng)用防火墻（WAF）。使用內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）分散和緩存流量。利用云服務(wù)供應(yīng)商提供的DDoS防護服務(wù)。實施速率限制，以限制每個IP地址的連接數(shù)量。 配置網(wǎng)絡(luò)設(shè)備，阻止泛洪ICMP和SYN請求。

2、SQL注入攻擊

開放Web應(yīng)用安全項目（OWASP）新出爐的十大應(yīng)用安全風險研究中，注入漏洞被列為網(wǎng)站最高風險因素。也是網(wǎng)絡(luò)罪犯最常用的注入手法。它直接針對網(wǎng)站和服務(wù)器的數(shù)據(jù)庫。執(zhí)行時，攻擊者注入一段能夠揭示隱藏數(shù)據(jù)和用戶輸入的代碼，獲得數(shù)據(jù)修改權(quán)限，全面俘獲應(yīng)用。

保護網(wǎng)站不受注入攻擊危害，主要落實到代碼庫構(gòu)建上。比如說，緩解SQL注入風險的首選方法就是始終盡量采用參數(shù)化語句。使用參數(shù)化查詢和預編譯語句來對數(shù)據(jù)庫查詢進行有效的輸入驗證。對所有用戶輸入進行驗證和篩選。 使用最小權(quán)限原則來限制對數(shù)據(jù)庫的訪問。定期更新和修補數(shù)據(jù)庫軟件以及關(guān)聯(lián)的工具庫。

3、跨站腳本 (XSS)攻擊

Precise Security是最為常見的一類網(wǎng)絡(luò)攻擊。但盡管最為常見，大部分跨站腳本攻擊卻不是特別高端，多為業(yè)余網(wǎng)絡(luò)罪犯使用別人編寫的腳本發(fā)起的。跨站腳本針對的是網(wǎng)站的用戶，而不是Web應(yīng)用本身。惡意黑客在有漏洞的網(wǎng)站里注入一段代碼，然后網(wǎng)站訪客執(zhí)行這段代碼。此類代碼可以入侵用戶賬戶，激活木馬程序，或者修改網(wǎng)站內(nèi)容，誘騙用戶給出私人信息。

被這類攻擊后，你需要設(shè)置Web應(yīng)用防火墻（WAF），WAF就像個過濾器，對所有用戶輸入進行適當?shù)尿炞C和過濾，能夠識別并阻止對網(wǎng)站的惡意請求。另外使用安全的編碼方法，如實體編碼，來輸出動態(tài)內(nèi)容。同時利用內(nèi)容安全策略（CSP）來限制可執(zhí)行的腳本，啟用瀏覽器內(nèi)置的XSS過濾功能。

4、 跨站請求偽造（CSRF）攻擊

攻擊者利用用戶的登錄狀態(tài)發(fā)送偽造的請求，導致對用戶數(shù)據(jù)的篡改或者其他非預期操作。

保護應(yīng)用程序免受CSRF攻擊的方法包括：使用CSRF令牌，為每個具有狀態(tài)變更能力的請求生成一個唯一的、不可預測的值。使用同源策略來確保只有可信域名可以發(fā)送請求。對用戶輸入進行驗證和篩選。

5、無線網(wǎng)絡(luò)安全風險

公共無線網(wǎng)絡(luò)和移動數(shù)據(jù)網(wǎng)絡(luò)可能被攻擊者利用，泄露用戶數(shù)據(jù)或劫持會話。

保護移動應(yīng)用程序免受這些網(wǎng)絡(luò)安全風險的方法包括：使用傳輸層安全協(xié)議（TLS/SSL）對所有數(shù)據(jù)傳輸進行加密。配置應(yīng)用程序和服務(wù)器之間的TLS/SSL證書，以確保雙方身份可靠性。不在應(yīng)用程序中存儲敏感數(shù)據(jù)，如密碼或私鑰。

其他

當然也還有其他安全防御措施：

安全設(shè)計與開發(fā)；輸入驗證與過濾；數(shù)據(jù)加密；訪問控制與權(quán)限管理；漏洞修復與補丁更新；安全編碼實踐；安全日志與監(jiān)測；安全測試與滲透測試；應(yīng)急響應(yīng)計劃與恢復策略；培訓與意識提升；等等，這里我就不再一一分享了。

以上就是應(yīng)對app或者網(wǎng)站常見幾種攻擊類型方法的詳細內(nèi)容，更多關(guān)于應(yīng)對網(wǎng)站app攻擊類型的資料請關(guān)注腳本之家其它相關(guān)文章！