尽管开发人员可能难以接受,但有许多不同的安全威胁可能针对他们的应用程序,而且它们还在不断变化和改进。开发人员和网站所有者应该了解一些可能带来不同挑战的最常见的攻击媒介。因此,通过阅读其中一些频繁的攻击,开发人员将能够专注于创造出色的用户体验,同时确信他们的应用程序是安全的。在这里,我们总结了我们每天可能面临的一些潜在攻击。
1.XSS 脚本攻击
XSS 攻击(跨站点脚本攻击)是一些最常见的攻击,因此几乎所有开发人员都需要准备好应对它们。这主要是利用 JavaScript、Flash 和其他类似现场技术中的已知漏洞来运行任意代码。
因此,设置脚本来随机搜索和攻击应用程序相对容易。几乎任何新手黑客都能够设置这些类型的脚本,据报告称,它们构成了 2013 年攻击的 84% 左右。虽然它们并不复杂,但它们仍然允许黑客访问用户数据。
2.犯罪
CRIME (Compression Ratio Info-leak Made Easy) 是一个如雨后春笋般涌现的漏洞,它能够捕获 cookie 和会话劫持。它可以产生可以被黑客出售的信息。因此,它是一种利用 HTTP 压缩漏洞的漏洞利用,可以在客户端或服务器端失败。然而,在 2014 年初,仍有大量的网站和浏览器对攻击持开放态度。
3.违反
基于 CRIME 的基于自适应超文本压缩 (BREACH) 的浏览器侦察和渗透是最新的安全威胁之一。它已经暴露了一些最受欢迎的在线应用程序中的一些漏洞。该漏洞通过暴力破解压缩的几个字节的 https 流量来工作。然后解决剩下的问题,让流量解码。它将使攻击者能够看到 https 内容。修复此漏洞的最简单方法是禁用 HTTP 压缩,但它也建议只有在可能发生潜在攻击时才能禁用 HTTP 压缩。
4.身份盗窃
值得注意的是,身份盗用仍然是一个重大问题。这可能是在其他地方发生的攻击——也许攻击者已经通过使用恶意软件或类似的漏洞从他们的计算机上获取了用户的密码。开发人员需要考虑如何应对此类攻击。因此,攻击者似乎拥有原始用户的所有凭据。包括针对异常活动的潜在额外安全检查。
5.DDOS
拒绝服务攻击是黑客使用的最古老的技术之一。它最近被想要抗议企业活动的攻击者认真使用。应用程序开发人员应该考虑他们对这类攻击的脆弱程度。因此,如果他们注意到他们的应用程序对这些攻击很敏感,他们应该尝试引入将干扰降到最低的方法。
6.SQL 漏洞
列表中的最后一个条目将是必须考虑的。多年来,事实证明这对开发人员来说是一个挑战。并且仍然是攻击者访问大量数据库内容的最简单方法之一。当攻击者在数据库上运行任意数据库代码时,就会出现 SQL 漏洞。允许访问数据库。因此,对抗这种类型的漏洞利用的唯一方法是首先拥有不允许此类代码执行的良好代码。
