什麼是 Web 應用程式安全性?

Web 應用程式安全性對任何業務都十分重要。瞭解常見的 Web 應用程式弱點以及緩解方式。

Share facebook icon linkedin icon twitter icon email icon

Web 應用程式安全性

學習目標

閱讀本文後,您將能夠:

  • 瞭解 Web 應用程式安全性的核心概念
  • 探索常見的 Web 應用程式弱點/惡意探索
  • 理解常見的威脅緩解方法

什麼是 Web 應用程式安全性?

Web 應用程式安全性

Web 應用程式安全性是任何網頁式業務的中心元素。網際網路的全球特性將 Web 資產暴露於來自不同位置與各種規模和複雜度層級的攻擊。Web 應用程式安全性專門處理網站、Web 應用程式及 Web 服務 (如 API) 周圍的安全性。

常見的 Web 應用程式安全性弱點有哪些?

從目標資料庫操縱到大規模網路中斷,都是針對 Web 應用程式的攻擊範圍。現在來探索一些常見的攻擊方法或經常遭到惡意探索的「向量」。

  • 跨網站指令碼 (XSS) - XSS 這種弱點允許攻擊者將用戶端指令碼插入網頁中,以便直接存取重要資訊、假冒成使用者或藉由欺騙使用者來竊取重要資訊。
  • SQL 資料隱碼攻擊 (SQi) - SQi 這種方法能讓攻擊者以資料庫執行搜尋查詢的方式鑽漏洞。攻擊者使用 SQi 取得未授權資訊的存取權限、修改或建立新的使用者權限,或是操縱或毀損機密資料。
  • 阻斷服務 (DoS)分散式阻斷服務 (DoS) 攻擊 - 透過各種向量,攻擊者能夠使用各種類型的攻擊流量,讓目標伺服器或其周圍的基礎結構過載。當伺服器再也無法有效處理傳入的要求後,就會開始表現遲緩,最終對合法使用者傳入的要求阻斷服務。
  • 記憶體毀損 - 若不小心修改了記憶體中的位置,造成軟體有可能產生意外行為,就會發生記憶體毀損。惡意執行者將會透過惡意探索 (例如程式碼插入或緩衝區溢位攻擊),嘗試發現並利用記憶體毀損。
  • 緩衝區溢位 - 緩衝區溢位是一種異常情況,當軟體將資料寫入到記憶體中稱為緩衝區的限定空間時,就會發生。緩衝區空間的溢位會造成鄰近的記憶體位置遭到資料覆寫。此行為會遭到惡意探索,用來將惡意程式碼插入記憶體中,讓目標機器可能因此產生弱點。
  • 跨網站偽造要求 (CSRF) - 跨網站偽造要求涉及欺騙受害者,進行利用其驗證或授權的要求。藉由利用使用者的帳戶權限,攻擊者能夠傳送假冒成使用者的要求。使用者的帳戶遭受入侵後,攻擊者就能外洩、銷毀或修改重要資訊。權限高的帳戶 (例如管理員或行政主管) 通常會成為目標。
  • 資料外洩 - 與特定的攻擊向量不同,資料外洩是一般詞彙,指稱敏感或機密資訊洩露,可透過惡意行為或因失誤而發生。被視為資料外洩的範圍相當廣泛,可能由幾個重要性高的記錄組成,一路累積為上百萬個遭到外洩的使用者帳戶。

什麼是緩解弱點的最佳做法?

保護 Web 應用程式避免遭到惡意探索的重要步驟包括使用最新的加密、要求進行適當驗證、持續修補發現到的弱點,以及具有良好的軟體開發環境。事實是,聰明的攻擊者即使在相當健全的安全性環境中,也能找到弱點,因此建議採用完整的安全性策略。

可以針對 DDoS、應用程式層和 DNS 攻擊提供保護,以改善 Web 應用程式安全性:

WAF - 針對應用程式層攻擊提供保護

web application firewall 或 WAF (Web 應用程式防火牆) 可協助保護 Web 應用程式,以免遭受惡意的 HTTP 流量。透過目標伺服器和攻擊者之間的篩選屏障,WAF 能夠提供保護,以防攻擊,例如跨網站偽造要求、跨網站指令碼和 SQL 資料隱碼攻擊。進一步瞭解 Cloudflare 的 WAF

DDOS WAF 如何運作

DDoS 防護

中斷 Web 應用程式的常用方法是使用分散式阻斷服務或 DDoS 攻擊。Cloudflare 可透過各種策略緩解 DDoS 攻擊,包括在我們的邊緣減少巨流量攻擊,並使用我們的 Anycast network 適當地路由傳送合法要求,而不會損失服務。瞭解 Cloudflare 可以如何協助您保護 Web 資產免於 DDoS 攻擊

DNS 放大 DDoS 攻擊動畫

DNS 安全性 - DNSSEC 保護

網域名稱系統或 DNS 是網際網路的電話簿,呈現網頁瀏覽器等網際網路工具查詢正確伺服器的方式。惡意執行者將會透過 DNS 快取中毒攻擊在途攻擊和其他干擾 DNS 查詢生命週期的方法,嘗試劫持 DNS 要求流程。若 DNS 是網際網路的電話簿,則 DNSSEC 就是無法詐騙的來電者 ID。探索您可以如何使用 Cloudflare 保護 DNS 查詢