盡管開發人員可能難以接受,但有許多不同的安全威脅可能針對他們的應用程序,而且它們還在不斷變化和改進。開發人員和網站所有者應該了解一些可能帶來不同挑戰的最常見的攻擊媒介。因此,通過閱讀其中一些頻繁的攻擊,開發人員將能夠專注于創造出色的用戶體驗,同時確信他們的應用程序是安全的。在這里,我們總結了我們每天可能面臨的一些潛在攻擊。
1.XSS 腳本攻擊
XSS 攻擊(跨站點腳本攻擊)是一些最常見的攻擊,因此幾乎所有開發人員都需要準備好應對它們。這主要是利用 JavaScript、Flash 和其他類似現場技術中的已知漏洞來運行任意代碼。
因此,設置腳本來隨機搜索和攻擊應用程序相對容易。幾乎任何新手黑客都能夠設置這些類型的腳本,據報告稱,它們構成了 2013 年攻擊的 84% 左右。雖然它們并不復雜,但它們仍然允許黑客訪問用戶數據。
2.犯罪
CRIME (Compression Ratio Info-leak Made Easy) 是一個如雨后春筍般涌現的漏洞,它能夠捕獲 cookie 和會話劫持。它可以產生可以被黑客出售的信息。因此,它是一種利用 HTTP 壓縮漏洞的漏洞利用,可以在客戶端或服務器端失敗。然而,在 2014 年初,仍有大量的網站和瀏覽器對攻擊持開放態度。
3.違反
基于 CRIME 的基于自適應超文本壓縮 (BREACH) 的瀏覽器偵察和滲透是最新的安全威脅之一。它已經暴露了一些最受歡迎的在線應用程序中的一些漏洞。該漏洞通過暴力破解壓縮的幾個字節的 https 流量來工作。然后解決剩下的問題,讓流量解碼。它將使攻擊者能夠看到 https 內容。修復此漏洞的最簡單方法是禁用 HTTP 壓縮,但它也建議只有在可能發生潛在攻擊時才能禁用 HTTP 壓縮。
4.身份盜竊
值得注意的是,身份盜用仍然是一個重大問題。這可能是在其他地方發生的攻擊——也許攻擊者已經通過使用惡意軟件或類似的漏洞從他們的計算機上獲取了用戶的密碼。開發人員需要考慮如何應對此類攻擊。因此,攻擊者似乎擁有原始用戶的所有憑據。包括針對異常活動的潛在額外安全檢查。
5.DDOS
拒絕服務攻擊是黑客使用的最古老的技術之一。它最近被想要抗議企業活動的攻擊者認真使用。應用程序開發人員應該考慮他們對這類攻擊的脆弱程度。因此,如果他們注意到他們的應用程序對這些攻擊很敏感,他們應該嘗試引入將干擾降到最低的方法。
6.SQL 漏洞
列表中的最后一個條目將是必須考慮的。多年來,事實證明這對開發人員來說是一個挑戰。并且仍然是攻擊者訪問大量數據庫內容的最簡單方法之一。當攻擊者在數據庫上運行任意數據庫代碼時,就會出現 SQL 漏洞。允許訪問數據庫。因此,對抗這種類型的漏洞利用的唯一方法是首先擁有不允許此類代碼執行的良好代碼。