​你的网站和应用程序安全吗

　　随着更多类似英国航空公司等越来越陡数据泄露事件和其他攻击事件的曝光，各类网站和应用程序面临数据泄露、僵尸程序管理、DDoS 攻击、API
安全等安全挑战，促使众多企业高管和 IT 专精人员更加重视网站和应用程序的安全策略，包括引入
GDPR(《通用数据保护条例》)、采用新的应用程序开发架构和框架等。这些措施使许多企业高管对其安全模型有效减轻 Web 应用程序攻击的能力表示极具信心。

　　然而，目前的现实是，针对网站和应用程序的攻击达到了创纪录的高度，敏感数据的共享比以往任何时候都多。有海外市场调查显示，33%
的网站和应用程序允许第三方通过 API 创建 / 修改 / 删除数据;1/3 的网站和应用程序与第三方共享敏感数据;67%
的人认为黑客可以穿透他们的网络;89% 的人认为网络抓取是他们知识产权的重大威胁;83% 的受访者正在启用 BUG
赏金计划，以找到他们网站和应用程序漏洞。与此同时，采用新兴框架和架构 (依赖于与多种服务的众多集成) 会增加复杂性并增加攻击面。

　　2017 年 11 月，OWASP 发布了 Web 应用程序中十大漏洞的新列表。黑客继续使用注入、XSS 和一些传统技术 (如 CSRF，RFI /
LFI 和会话劫持) 来利用这些漏洞并获取对敏感信息的未授权访问。随着攻击来自可靠的来源，例如 CDN、加密流量或我们集成的系统和服务的
API，保护变得越来越复杂。机器人的行为与真实用户一样，可以绕过诸如 CAPTCHA，基于 IP 的检测等挑战，从而更加难以保护和优化用户体验。

　　因此，我们的 Web 应用程序安全解决方案需要更加智能，并且可以解决各种漏洞利用方案。除了保护应用程序免受这些常见漏洞之外，它还需要保护 API
并缓解 DoS 攻击，管理机器人流量并区分合法机器人 (例如搜索引擎) 和僵尸网络，网络抓取工具等。

　　一、DDoS 攻击

　　DoS 攻击通过耗尽应用程序资源使应用程序无法运行。缓冲区溢出和 HTTP 泛洪是最常见的 DoS 攻击类型，这种形式的攻击在 APAC
中更为常见。36% 的人认为 HTTP / Layer-7 DDoS 是最难缓解的攻击。一半的企业采用基于速率的方法
(例如限制来自某个来源的请求数量或仅仅购买基于速率的 DDoS
保护解决方案)，一旦超过阈值且真实用户无法连接，这些方法无效。建议参考香港高防服务器，其香港高防服务器基于先进的攻击检测和处理系统，可精准识别 25
种以上的多种 DDoS/CC 变种攻击，并秒级触发清洗机制，可有效清洗高达 500Gbps 的大规模 DDoS 攻击，并保证合法流量的正常通过，即使 DDoS
攻击高峰期间也能保证你的网站和应用程序持续运行。香港高防服务器提供压力测试，提供防御无效退款承诺。

　　二、API 攻击

　　API 简化了应用程序服务的体系结构和交付，并使数字交互成为可能。不幸的是，它们还引入了广泛的风险和漏洞，成为黑客入侵网络的后门。通过 API，数据在
HTTP 中交换，双方接收、处理和共享信息。理论上，第三方能够从应用程序插入、修改、删除和检索内容。调查显示，62% 的受访者没有对通过 API
发送的数据进行加密;70% 的受访者不需要身份验证;33% 允许第三方执行操作 (GET / POST / PUT / DELETE)。这些都使黑客针对 API
发起攻击成为可能。

　　三、机器人攻击

　　好坏机器人流量的数量都在增长。企业被迫增加网络容量，并且需要能够从中准确地分辨出攻击流量和正常流量，从而保持客户体验和安全性。黑客可以使用网络爬虫抓取你的网站和应用程序信息，包括你的定价信息、克隆你的网站代码、侵犯你的知识产权，以及在你的促销活动时薅羊毛等。

　　四、数据泄露

　　尽管绝大多数企业都密切关注他们收集和共享的数据类型。但是，几乎近半企业都曾遭遇过违规行为。平均而言，一个企业每年遭受 16.5
次违规尝试。大多数人花费数小时和数天才发现，甚至一直没有发现。从调查结果看，数据泄露是最难以发现和解决的攻击。企业如何发现数据泄露 ?
启用异常检测工具、Darknet 监控服务、信息被公开泄露、被勒索要求赎金等。

　　五、攻击影响

　　诸如利润受损、声誉损失、客户补偿、法律诉讼、客户流失以及股价下跌等负面影响，并且修复公司声誉受损的过程很长，而且并不总是成功。

　　六、确保新兴应用程序开发框架的安全

　　快速增长的应用程序数量及其在多个环境中的分布需要进行调整，一旦需要对应用程序进行更改，就会导致变化。几乎不可能在所有环境中有效地部署和维护相同的安全策略。虽然
93% 的企业使用 Web 应用程序防火墙 (WAF)，但只有三分之一使用的 WAF
结合了正面和负面的安全模型，以实现有效的应用程序保护。在使用云服务器的受访者中，有一半将数据保护评为最大挑战，其次是可用性保证、策略实施、身份验证和可见性。

　　其实，绝大多数企业对于其网站和应用程序的安全性都存在盲目的自信，这是一种虚假的安全感。攻击方式在不断发展，安全措施并非万无一失。拥有应用程序安全工具和流程可以提供控制感，但它们很可能迟早会被破坏或绕过。另外，很多企业高管并不完全了解其日常事件。他们期待他们的内部团队负责应用程序安全性来管理问题，但他们对企业的应用程序安全策略的有效性和实际风险暴露的看法之间似乎存在脱节。