网站易被攻击原因及保护措施。“有人用心做站，有人‘用心’攻击”，这是互联网中最常态的问题。

　　那网站为什么容易遭受攻击呢?

　　本文归纳了OWASP组织提出的前十大网络漏洞，包括对每个问题的描述、真实案例以及如何修复网站漏洞。

　　一、注入漏洞(Injection)

　　问题：当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候，黑客会欺骗转换器。攻击者可以利用注入漏洞创 建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下，攻击者可以利用这些漏洞完全控制应用软件和底层系统，甚至绕过系统底层的防火墙。

　　真实案例：俄罗斯黑客在2006年1月份攻破了美国罗得岛政府网站，窃取了大量信用卡资料。黑客们声称SQL注入攻击窃取了5.3万个信用卡账号， 而主机服务供应商则声称只被窃取了4113个信用卡账号。

　　如何保护用户：尽可能不要使用转换器。OWASP组织说：“如果你必须使用转换器，那么，避免遭受注入攻击的最好方法是使用安全的API，比如参数 化指令和对象关系映射库。”

　　二、不安全的认证和会话管理(Broken Authentication and Session Management)

　　问题：如果应用软件不能自始至终地保护认证证书和会话标识，用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。

　　OWASP说：“主要验证机制中经常出现各种漏洞，但是攻击往往是通过注销、密码管理、限时登录、自动记忆、秘密问题和账户更新等辅助验证功能展开的。”

　　真实案例：微软公司曾经消除过Hotmail中的一个漏洞，恶意Java脚本程序员曾经在2002年利用这个漏洞窃取了许多用户密码。这个漏洞是一家联网产品转售商发现的，包含木马程序的电子邮件可以利用这个漏洞更换Hotmail用户的操作界面，迫使用户不断重新输入他们的密码，并在用户不知情的情况下将它们发送给黑客。

　　如何保护用户：通信与认证证书存储应确保安全性。传输私人文件的SSL协议应该是应用软件认证系统中的唯一选择，认证证书应以加密的形式进行保存。

　　另一个方法是：除去认证或者会话管理中使用的自定义cookie。

　　三、跨站脚本(Cross-Site Scripting)(XSS)

　　问题：XSS漏洞是最普遍和最致命的网络应用软件安全漏洞，当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据，破坏网站，插入有害内容，以及展开钓鱼式攻击和恶意攻击。

　　真实案例：恶意攻击者去年针对Paypal发起了攻击，他们将Paypal用户重新引导到另一个恶意网站并警告用户，他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上，然后输入自己的Paypal登录信息、社会保险号和信用卡资料。Paypal公司称，它在2006年6月修复了那个漏洞。

　　如何保护用户：利用一个白名单来验证接到的所有数据，来自白名单之外的数据一律拦截。另外，还可以对所有接收到的数据进行编码。OWASP说：“验证机制可以检测攻击，编码则可以防止其他恶意攻击者在浏览器上运行的内容中插入其他脚本。”

　　四、访问限制缺失(Broken Access Control)

　　问题：有些网页的访问应该是受限于一小部分特权用户，比如管理员。然而这些网页通常并不具备真正的保护系统，黑客们可以通过猜测的方式找出这些地址。 Williams说，如果某个网站地址对应的ID号是123456，那么黑客会猜想123457对应的地址是什么呢?

　　针对这种漏洞的攻击被称作强迫浏览，通过猜测的方式去猜周围的链接并找出未经保护的网页。

　　真实案例：Macworld Conference大会网站上有一个漏洞，用户可以免费获得价值1700美元的高级访问权限和史蒂夫·乔布斯的演讲内容。这个漏洞是在客户端而非服务器上评定用户的访问权限的，这样人们就可以通过浏览器中的Java脚本获得免费权限。

　　如何保护用户：不要以为用户们不知道隐藏的地址。所有的网站地址和业务功能都应受到一个有效访问控制机制的保护，这个机制可以检验用户的身份和权限。

　　五、不正确的安全设置(Security Misconfiguration)

　　问题：虽然加密本身也是大部分网络应用软件中的一个重要组成部分，但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术，其设计也是粗制滥造的。

　　OWASP说：“这些漏洞可能会导致用户敏感数据外泄以及破坏系统的一致性。”

　　真实案例：TJX数据失窃案中，被窃取的信用卡和提款卡账号达到了4570万个。加拿大政府调查后认为，TJX未能升级其数据加密系统。

　　如何保护用户：不要开发你自己的加密算法。最好只使用已经经过审批的公开算法，比如AES、RSA公钥加密以及SHA-256或者更好的SHA-256。

　　另外，千万不要在不安全渠道上传送私人资料。

　　OWASP说，现在将信用卡账号保存起来是比较常见的做法，但是明年就是《信用卡行业数据安全标准》发布的最后期限，以后将不再将信用卡账号保存起来。

　　六、敏感信息泄露(Sensitive Data Exposure)

　　问题：这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此，PCI标准要求对网络上传输的信用卡信息进行加密。

　　真实案例：这次又是一个关于TJX的例子。华尔街日报的报道称，调查员们认为，黑客利用了一种类似于望远镜的天线和笔记本电脑来窃取通过无线方式传输的用户数据。

　　有报道称：“众多零售商的无线网络安全性还比不上许多人自己的局域网。TJX使用的是WEP加密系统而不是安全性更好的WPA加密系统。

　　如何保护用户：在所有经过认证的连接上利用SSL，或者在敏感信息传输过程中使用SSL。SSL或者类似的加密协议应该加载在客户端、与在线系统有关的合作伙伴、员工和管理员账户上。利用传输层安全或者协议级加密系统来保护基础结构各部分之间的通信，比如网络服务器与数据库系统之间的通信。

　　七、不充足的攻击检测与预防(Insufficient Attack Protection)

　　问题：大多数应用和API缺乏基本的能力，来检测、预防和响应人工和自动化攻击。攻击防护远不仅限于基本的输入验证，它还包含自动检测、记录、响应甚至阻止利用行为。应用程序所有者还需能快速部署补丁以防止攻击。

　　真实案例：2013年，美国一家豪车软件公司系统被黑客入侵，超过85万用户的个人及财产信息受到影响，其中包括世界500强的高管、政治名流以及球星影星等，只是因为数字服务系统在安全性方面有瑕疵。

　　如何保护用户：配备高标准的网络安全软硬件配置、制定完善的网络安全管理制度和强化网络安全应急工作。

　　八、跨站指令伪造(Cross-Site Request Forgery)(SCRF)

　　问题：这种攻击简单但破坏性强，它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的，部分原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。

　　Williams说：“网络上99%的应用软件都是易被跨站指令伪造漏洞感染的。现实中是否发生过某人因此被攻击而损失钱财的事呢?也许连各银行都不知道。对于银行来说，整个攻击看起来就像是用户登录到系统中进行了一次合法的交易。”

　　真实案例：一位名叫Samy的黑客在2005年末利用一个蠕虫在MySpace网站上获得了100万个“好友”资料，在成千上万个MySpace网页上自动出现了“Samy是我的英雄”的文字。攻击本身也许是无害的，但是据说这个案例证明了将跨站脚本与伪造跨站指令结合在一起所具备的威力。另一个案例发生在一年前，Google网站上出现了一个漏洞，外部网站可以利用那个漏洞改变用户的语言偏好设置。

　　如何保护用户：不要依赖浏览器自动提交的凭证或者标识。OWASP说：“解决这个问题的唯一方法是使用一种浏览器不会记住的自定义标识。”

　　九、使用已知不安全组件(Using Components with Known Vulnerabilities)

　　问题：各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的，那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。

　　OWASP说：“各种网络应用软件经常通过详细或者调试出错信息将内部状态信息泄露出去。通常，这些信息可能会导致用户系统受到更有力的攻击。”

　　真实案例：信息泄露是通过错误处理不当发生的，ChoicePoint在2005年的崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合法用户在公司人员信息数据库中寻找某个人的资料，随后窃取了16.3万个消费者的记录资料。ChoicePoint后来对包含敏感数据的信息产品的销售进行了限制。

　　如何保护用户：利用测试工具查看应用软件出现的错误信息。OWASP说：“未通过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”

　　另一个方法是：禁止或者限制在错误处理中使用详细信息，不向用户显示调试信息。

　　十、未受保护的API(Underprotected APIs)

　　问题：现代的应用常常涉及富客户端应用程序和API，比如浏览器和移动App中的JavaScript，连接到其他某种API(SOAP/XML、REST/JSON、RPC、GWT等)。这些APT通常未受保护且存在多种漏洞。

　　真实案例：2015年1月，Moonpig因安全漏洞泄露了约300万名客户的信用卡信息，随后该网站关闭了移动app。研究发现该漏洞出现在MoonPig移动app可与其服务器通讯的部分，即API。API发送的信息并不是受单个用户名及密码保护的信息，而是受到同一凭证保护的信息，不管登录的用户是谁。因此，攻击者可访问网站任何一名用户的详细资料、查看之前的订单并对任何用户下订单。

　　如何保护用户：企业及其开发人员必须采取一些措施来加强和确保API在企业环境的安全性。总是对敏感数据进行加密，避免纯文本的传输。开发人员应该使用SSL证书，保证web api端点项目和web服务接口间敏感数据的传输安全，防止黑客嗅到这些数据。

　　小结：

　　要想尽量避免网站被攻击，必须居安思危，加上一些必要的防护网站攻击手段和措施，最大限度减少损失。

　　完全杜绝网站被攻击目前是不可能的，通过适当的措施可以抵御90%的黑客攻击，采用专业的团队技术对网站进行防护。，增强抵御网站攻击的能力，也就加大了攻击者的攻击成本，绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了黑客攻击。

　　3个小妙招有效防止服务器遭受DDoS攻击 有效保障网站安全。当下，互联网飞速发展，网络安全问题也日益凸出，网络攻击事件频发。不过，令人遗憾的人，超过一半的站长对网络安全的意识淡薄，没有防范意识，也没有采取有效预防措施来保护自己的网站安全。

　　目前，网络攻击有多种形式，简单来说， 可以主要分为四类攻击。1、人性式攻击，比如钓鱼式攻击;2、中间人攻击，各式各样的网络攻击，几乎都是中间人攻击，比如ARP欺骗、DNS欺骗;3、缺陷式攻击，如DDOS攻击;4、漏洞式攻击，就是所谓的0day Hacker，这种攻击是最致命的。

　　当然，对于，我们站长建站租用的服务器来说，可能经常遇到的攻击就是第三种了——DDOS攻击。据了解，2016年第四季度，最长的DDoS攻击持续了292小时，这是2016年的纪录。而且，一年中DDoS攻击的纪录数也出现在最后一个季度中的一天——11月5日发起1,915次攻击。

　　DDOS攻击(分布式拒绝服务攻击)是目前常见的网络攻击方法。简单来说，多个DoS攻击源一起攻击某台服务器就形成了DDOS攻击。DDoS攻击的危害很大，而且很难防范，可以直接导致网站宕机、服务器瘫痪，数据流失等巨大损失，影响非常大。

　　由于DDOS攻击防范程度很大，而且国家也没有形成一个安全完善的监管体系。这样使得DDOS攻击在互联网上的肆虐泛滥。另外，对于咱们个人站长来说，也不可能一直去更新硬件配置来抵御DDOS攻击。那么，咱们应该采取哪些有效措施来防御DDOS攻击?下面给大家介绍几个3个小妙招!

　　1、系统要是最新版

　　首先我们就是要确保服务器软件没有任何漏洞，防止攻击者入侵。一定要确定服务器是采用最新系统，并打上安全补丁。在服务器上删除未使用的服务，关闭未使用的端口。对于服务器上运行的网站，确保其打了最新的补丁，没有安全漏洞。因为，只有保证自身安全，才能让“敌人”没有可趁之机。

　　2、最好隐藏服务器IP

　　如果条件允许的话，而且数据非常重要，大家最好选用高防的服务器，并且在服务器前端加CDN中转，所有的域名以及子域名都使用CDN来解析。这样可以隐藏服务器的真实IP，从而也不容易让服务器被DDOS攻击。

　　3、邮件发送也要警惕

　　一般情况下，服务器对外传送信息会泄漏IP，因此，大家最好别用服务器来大量发送邮件。如果一定要发送邮件，可以通过第三方代理软件进行发送，这样显示出来的IP是代理IP，也不容易暴露服务器真实IP。另外，目前80%以上的网络攻击都是从一封钓鱼邮件开始的。因此，除了不要“明目张胆”的发送邮件外，对于，来历不明的邮件、文件以及链接也不要轻易的点击，以免惹来麻烦。

　　通过以上几点不难发现，保护服务器遭受DDOS攻击，最根本的措施还是隐藏真实IP，只要不泄露真实IP地址，一般10G以下小流量攻击还是可以有很多方法搞定的。如果攻击流量超过30G，那么，估计只有使用高防服务器了。最后，再说一次，隐藏服务器的真实IP是非常重要，还有，如果你是站长的话，一定要有网络安全意识以及养成网站备份的好习惯。

　　五大危害企业的移动端威胁与安全防御措施。如今大多企业员工几乎每天都需要用到移动端的某些应用来完成相关工作，但是一旦恶意攻击者盯上了你手机上的某个应用，那么设备遭受攻击所带来的影响可能就是连锁式的。

　　一、五大危害企业的移动端威胁

　　Lookout产品总监David Richardson和他的团队研究总结出五大移动端恶意软件家族，冒充真正的企业应用，引诱员工下载恶意软件。研究显示，这五个活跃的移动恶意软件家族通常通过窃取合法应用的名称和包名称来模拟一些企业应用，例如思科的商务电子邮件应用、ADP、Dropbox、FedEx Mobile、Zendesk、VMware的Horizon Client、Blackboard的Mobile Learn等等。

　　1. Shuanet

　　Shuanet能够将其自身自动安装在设备的系统分区上，获得设备root权限，达到进一步安装其它应用的目的。这些应用程序可能是恶意的也可能是良性的，推送至手机，提高恶意软件的下载几率。Shuanet可能也会向设备推送各种小广告。

　　企业将面临的风险

　　被root设备的安全状态已经发生改变。很多人会利用root权限对设备进行自定义设置，但是他们往往都不会去做安全性的合理配置，可能也不会进行定期的软件更新。另外，Shuanet这样的恶意软件会在系统分区中自动安装，即使恢复出厂设置也难以去除。最后，安装应用的恶意软件可能会将更多的恶意应用程序植入该设备，使设备及数据暴露在更高的风险中。

　　受害应用程序举例：ADP Mobile Solutions、CamCard Free、Cisco Business Class Email(BCE)、Duo Mobile、Google Authenticator、VMWare Horizon Client、Zendesk、Okta Verify。

　　2. AndroRAT

　　AndroRAT开发初衷是完成一个大学研究项目——创建一个“远程管理工具”，允许第三方控制某设备并从麦克风收集联系人、通话记录、短信、设备位置和音频等信息。但是该工具目前被一些不法份子恶意利用。

　　企业将面临的风险

　　隐藏的远程访问软件能够帮助攻击者轻易地从移动设备获取到企业和个人的数据。另外，对某个移动设备的持续性远程访问也会帮助攻击者对感染设备所连接的公司Wi-Fi和VPN展开入侵行动。

　　受害应用程序举例：Dropbox、Skype、Business Calendar

　　3. UnsafeControl

　　UnsafeControl能够收集联系信息并将其下载到第三方服务器，还能够对联系人列表发送垃圾邮件或向其命令和控制(CNC)服务器指定的电话号码发送短信。消息内容也由CNC控制。

　　企业将面临的风险

　　像UnsafeControl这样的恶意软件能够窃取联系人信息，这对很多企业来说都属于敏感信息。比如，销售总裁或副总设备上的联系人信息就是一个公司极大的竞争优势与虚拟财富。

　　受害应用程序举例：FedEx Mobile、Google Keep、远程VNC Pro、Sky Drive、PocketCloud、Skype。

　　4. PJApps

　　PJApps可能会收集并泄露受害者的电话号码、移动设备的唯一标识符(IMEI)及位置。为了扩大非法盈利范围，它也可能会向一些优质的短信号码发送钓鱼信息。另外， PJApps也能够进一步下载应用程序到相应设备。

　　企业将面临的风险

　　像PJApps这样的恶意软件通常利用其功能来获取收益，但同时也具有一定技术相关性，例如手机位置信息带来的威胁，尤其是针对高管们的移动设备。这些信息可能关乎企业的商业计划。该恶意软件将其它应用程序下载至设备的功能其实也为新型恶意软件进入设备提供了通关密语。

　　受害应用程序举例：CamScanner。

　　5. Ooqqxx

　　Ooqqxx实际是一个广告网络，将广告推送至通知栏，发送弹窗广告，在主屏幕上创建快捷方式，未经许可下载大型文件。

　　企业将面临的风险

　　这些广告会往往会打断员工的正常工作，员工因此可能也会向IT部门提出改进意见，这些行为都在一定程度上影响了公司员工的工作效率。Time is money!

　　受害应用程序举例：Mobile从Blackboard、Evernote、PocketCloud、Remote Decktop、Adobe Reader、aCalendar。

　　二、从开发者角度谈移动端威胁的安全防御措施

　　每个人的手机、iPad等智能设备上大概都有26-55个应用程序，通常包括以下这些类型：娱乐和游戏、银行app、一些社交媒体app、瘦身塑形的软件以及网购应用等。

　　如果只是普通的游戏软件遭到攻击，你也许不会在意。但事实上，很多应用其实都收集了很多你不想让别人看到的个人信息，比如你的位置、银行卡信息和某些照片。

　　从开发的角度来看，你必须通过某些协议确保应用程序的代码不被黑客入侵。Codal首席执行官Keval Baxi主要从开发者的角度给出了一些保护手机应用安全的干货建议。

　　1. 使用基于令牌的身份验证方式访问API

　　很多移动应用程序都没有设计恰当的身份验证方法，这种行为的本质其实就是数据泄露。“令牌”是指一些本身不带任何意义的数据，但令牌系统准确率高，它是保护移动端应用程序的关键方式。基于令牌的身份验证需要验证每个向服务器发送的API请求的真实性，只有通过验证程序才会对请求作出响应。

　　2. 使用Android KeyChain和iCloud Keychain存储敏感信息

　　移动设备上的keychain是一个安全的存储容器，能够保存所有应用程序的登录名、用户名和密码等数据。建议开发人员充分利用操作系统的这一功能进行数据存储，而不是通过p-list文件或NSUserDefaults来存储。使用keychain功能也可以为用户带来便利，不需要每次登录都输入用户名密码。

　　3. 在本地数据库中保存用户数据时对数据进行加密

　　加密是将数据和明文转换为“密码”的过程，也就是密文。要想读取密文就必须经过解密或使用密钥的过程，因此加密数据保护最有效的方法之一。

　　4. 登录应用程序时选择指纹锁而不是用户名和密码

　　苹果公司研究人员表示，指纹匹配的概率是1：50000，而四位数密码的匹配概率是1：10000。因此指纹登录比使用传统密码的方式更加安全。指纹是每个用户独特的生命体征，而密码不是。在iOS版本8之前，苹果公司为开发人员开通了Touch ID的权限，API能够在SDK(软件开发工具包)中使用。

　　5. 可疑活动的实时通知

　　当用户在新的设备或新的未知位置登录某应用程序时，可以通过电子邮件或推送通知向用户发送登录异常的消息，完成验证过程。很少会有应用程序达到这一要求，而Gmail是其中之一。登录验证通知能够让用户获知他的账户是否遭到了非法入侵。

　　6. 始终使用https(SSL)

　　将SSL安装到服务器后，开发人员就能够使用HTTPS协议，该协议安全性高，有助于防止入侵者干扰应用程序及其服务器之间的数据传输。

　　7. 提防逆向工程。

　　开发人员对应用程序进行逆向工程、把数据和源代码移走也不是不可能发生的事。为了防止这种情况的出现，你可以通过更改预处理器中重要类别和方法的名称来迷惑黑客。第二个办法则是在项目完成后对符号表进行拆分。