网站常见攻击方式，10种常见网站安全攻击和防御方法

很多朋友对网站常见攻击方式，10种常见网站安全攻击和防御方法不是很了解，每日小编刚好整理了这方面的知识，今天就来带大家一探究竟。

在某种程度上，互联网上的每个网站都容易受到安全攻击。从人为失误到网络犯罪分子发动的复杂攻击，都在威胁范围内。网络攻击者的主要动机是寻求金钱。无论您运行的是电子商务项目还是简单的小型商业网站，潜在的攻击风险都是存在的。

知己知彼。在当今的互联网时代，知道自己面临什么样的威胁比以往任何时候都重要。每一种恶意攻击都有自己的特点，不同类型的攻击非常多，似乎不可能无死角地抵御所有方向的所有攻击。但是，我们仍然可以做很多工作来保护网站，减轻恶意黑客带来的风险。让我们先仔细看看互联网上最常见的10种网络攻击，看看我们能做些什么来保护您的网站。

10种常见的网站安全攻击1。跨站脚本(XSS)精确安全最近的一项研究表明，跨站脚本攻击约占所有攻击的40%，是最常见的网络攻击类型。然而，虽然最常见，但大多数跨站脚本攻击并不是特别高端，大多数是业余网络犯罪分子利用他人编写的脚本发起的。

跨站点脚本是针对网站的用户，而不是web应用程序本身。恶意黑客将一段代码注入易受攻击的网站，然后网站访问者执行代码。这种代码可以入侵用户的帐户，激活特洛伊木马，或修改网站内容，诱骗用户提供私人信息。

设置Web应用程序防火墙(WAF)可以保护网站免受跨站点脚本攻击。WAF就像一个过滤器，可以识别和阻止对网站的恶意请求。当你购买虚拟主机服务时，虚拟主机公司通常已经为你的网站部署了WAF，但是你仍然可以自己建立另一个。2.在OWASP发布的十大应用安全风险研究中，注入漏洞被列为最高风险因素。SQL注入方法是网络罪犯最常用的注射方法。

注入式攻击方式直接针对网站和服务器的数据库。在执行时，攻击者注入一段可以暴露隐藏数据和用户输入的代码，获得数据修改权限，完全捕获应用程序。保护网站免受注入攻击主要在代码库的构建上实现。例如，降低SQL注入风险的第一选择是尽可能地使用参数化语句。此外，考虑将数据库保护外包给第三方认证工作流。3.模糊测试

开发人员使用模糊测试来发现软件、操作系统或网络中的编程错误和安全漏洞。但是，攻击者可以使用相同的技术在您的网站或服务器上找到漏洞。使用模糊测试方法，攻击者首先向应用程序输入大量随机数据(模糊)以使其崩溃。下一步是用模糊测试工具找到应用程序的弱点。如果目标应用程序中存在漏洞，攻击者可以进一步利用它。

对抗模糊攻击的最好方法是不断更新安全设置和其他应用程序，特别是如果恶意黑客在安全补丁发布后不更新，他们就会利用漏洞。4.零日攻击零日攻击是模糊攻击的扩展，但它不需要识别漏洞本身。这种攻击的最新案例是由谷歌发现的，该公司在Windows和Chrome软件中发现了潜在的零日攻击。

在两种情况下，恶意黑客可以从零日攻击中获益。在第一种情况下，如果可以获得即将到来的安全更新的信息，攻击者就可以在更新上线之前分析出漏洞的位置。在第二种情况下，网络犯罪分子获取补丁信息，然后攻击没有更新系统的用户。这两种情况都会破坏系统安全，后续影响程度取决于黑客的技术。

保护自己和网站免受零日攻击最简单的方法就是在新版本发布后及时更新软件。5.路径(目录)遍历路径遍历攻击虽然没有上述攻击方式那么常见，但对任何Web应用来说仍然是一个很大的威胁。

路径遍历攻击是针对Web根文件夹，访问目标文件夹外的未授权文件或目录。攻击者试图将移动模式注入服务器目录，以便向上爬。成功的路径遍历攻击可以获得对网站的访问权，并获得配置文件、数据库以及同一物理服务器上的其他网站和文件。

一个网站能否抵御路径遍历攻击，取决于你输入的净化程度。这意味着要确保用户输入的安全性，并且不能从您的服务器恢复用户输入。最直观的建议就是构建你的代码库，这样用户的任何信息都不会传输到文件系统API。即使这条路走不通，也有其他技术方案可用。6.分布式拒绝服务(DDoS)

DDoS攻击本身无法让恶意黑客突破安全措施，但会让网站暂时或永久离线。卡巴斯基实验室《2017年IT安全风险调查》指出，单次DDoS攻击就能让小企业平均损失12.3万美元，大企业的损失水平约为230万美元。

DDoS的目的是用大量的请求淹没目标网络服务器，使其他访问者无法访问网站。僵尸网络通常可以使用之前被感染的计算机发送来自世界各地的大量请求。而且，DDoS攻击经常与其他攻击方式配合使用；攻击者利用DDoS攻击吸引安全系统的火力，从而秘密利用漏洞入侵系统。

保护网站免受DDoS攻击一般从几个方面入手。首先，需要通过内容分发网络(CDN)、负载均衡器、可扩展资源来缓解流量峰值。其次，要部署Web应用防火墙(WAF)来防范DDoS攻击、隐蔽注入攻击或跨站脚本等网络攻击。7.中间人攻击

中间人攻击在用户和服务器之间传输数据而不加密的网站中很常见。作为用户，只要看网站的网址是否以HTTPS开头就可以发现这种潜在的风险，因为HTTPS的“s”表示数据是加密的，没有“s”就是未加密的。

攻击者使用中间人攻击来收集信息，通常是敏感信息。当数据在双方之间传输时，可能会被恶意黑客截获。如果数据没有加密，攻击者可以很容易地读取个人信息、登录信息或其他敏感信息。在网站上安装安全套接字层(SSL)可以减轻中间人攻击的风险。SSL证书对双方之间传输的信息进行加密，即使被截获，攻击者也无法轻易破解。现代主机提供商通常在主机服务包中配置SSL证书。

8.暴力破解攻击暴力破解攻击是获取Web应用程序登录信息的一种相当直接的方式。但同时，它也是最容易减轻的攻击之一，尤其是来自用户端的攻击。在暴力攻击中，攻击者试图猜测用户名和密码对，以便登录用户帐户。当然，即使使用多台电脑，除非密码相当简单明显，否则破解过程可能需要数年时间。

保护登录信息的最佳方式是创建强密码或使用双因素身份验证(2FA)。作为网站所有者，可以要求用户同时设置强密码和2FA，以减轻网络犯罪分子猜测密码的风险。9.使用未知代码或第三方代码，虽然不是对网站的直接攻击，但使用第三方创建的未经验证的代码也可能导致严重的安全漏洞。

代码或应用程序的原始创建者可能会在代码中隐藏恶意字符串，或者无意中留下后门。一旦“受感染”的代码被引入网站，您将面临恶意字符串执行或后门利用的风险。后果可能从简单的数据传输到网站管理权威的下降。

为了避免潜在数据泄露的风险，请让您的开发人员分析和审核代码的有效性。另外，保证使用的插件(尤其是WordPress插件)及时更新，定期接收安全补丁：研究表明，两年内有超过17000个WordPress插件(约占当时抽样数的47%)没有更新。10.网络钓鱼

钓鱼是另一种不直接针对网站的攻击方式，但我们不能将其排除在列表之外，因为钓鱼也会破坏你系统的完整性。根据FBI 《互联网犯罪报告》，原因是网络钓鱼是最常见的社会工程网络犯罪。

网络钓鱼攻击中使用的标准工具是电子邮件。攻击者通常伪装成其他人，诱骗受害者提供敏感信息或进行银行转账。这种攻击可以是古怪的419骗局(预付费欺诈骗局)，也可以是涉及虚假电子邮件地址、看似真实的网站和劝诱性语言的高端攻击。后者被广泛称为鱼叉式网络钓鱼。

降低网络钓鱼欺诈风险的最有效方法是培训员工和他们自己，以提高他们识别此类欺诈的能力。提高警惕，经常检查发件人的邮箱是否合法，邮件内容是否怪异，要求是否不合理。另外，记住：天上不会掉馅饼，出了事也会有心魔。结论对网站的攻击有多种形式。攻击者可以是业余黑客，也可以是一起工作的专业黑客团伙。

其中一个最关键的建议是，在创建或操作网站时，不要跳过安全功能，因为跳过安全设置可能会产生严重的后果。虽然不可能完全消除网站被攻击的风险，但至少可以减轻被攻击的可能性和攻击后果的严重性。黄飞

以上知识分享希望能够帮助到大家！