安全专家预计,到 2025 年,全球网络犯罪成本将达到每年 10.5 万亿美元。仅在美国,数据泄露的平均成本就已经超过 900 万美元,这让企业主感到焦虑。虽然云采用解决了扩展、定制以及基础设施维护和交付问题,但保护 Web 资产是在线业务的主要关注点。这是保护您的业务、客户和交易免受黑客攻击的指南。
7个网站安全清单
1.扫描网站的弱点
Gartner Group 估计超过 70% 的违规行为发生在应用层。Web 应用程序服务于众多客户和客户。显然,黑客在瞄准应用程序以破坏关键业务流程方面有更高的动机。自动Web 应用程序扫描是查找黑客可能针对的网站安全漏洞的最有效方法。这是保护商业网站的第一步。
AppTrana 基本扫描(永久免费):提供每两周一次的安全扫描,以查找OWASP 前 10 名和 SANS 前 25 名漏洞。您最多可以扫描网站的 250 个页面,并接收有关 XSS、SQL 注入等安全问题的详细报告。
2.保持软件更新
这是显而易见的,但却被忽视了。软件补丁在保护您的网站免受黑客攻击方面发挥着至关重要的作用。这适用于您存储桶中的所有内容,包括服务器操作系统、CMS 和公司使用的其他软件。当在第三方应用程序中发现网站安全漏洞时,黑客会针对所有使用该软件易受攻击版本的网站。
许多开发人员以交付期限为由推迟更新。大规模的“WannaCrypt”勒索软件攻击是攻击至少 150 个国家的计算机瘫痪并造成价值 40 亿美元损失的一个例子。
3.验证用户数据
允许用户向您的服务器发送或上传任何内容是一个巨大的安全漏洞。从业务的角度来看,交互界面是高效的,但风险很高。即使是用户名字段中的简单未清理字符串或图像部分中的文件上传也可能导致服务器停机。
您需要非常怀疑地对待所有用户输入,并确保只接受预定的输入格式。确保您的防火墙阻止了各种可执行文件和其他用户输入。此外,完全禁止对服务器的物理访问。
4.定期进行渗透测试
业务应用程序很复杂。后端/前端服务器和 API 中有几个变量设置是您的业务独有的。自动扫描工具有其局限性,特别是如果您的应用程序建立在不同的逻辑之上。
- 电子商务网站允许用户将商品添加到他们的购物车,查看摘要页面,然后付款。如果他们可以返回摘要页面,保持相同的有效会话并为项目注入较低的成本并完成付款交易,该怎么办?
- 用户可以在他们的购物车中无限持有一件物品并阻止其他人购买它吗?
- 用户能否以折扣价锁定购物车中的商品并在几个月后购买?
- 如果用户通过忠诚度账户预订商品并获得忠诚度积分但在交易完成之前取消怎么办?
手动渗透测试或道德黑客攻击复制了黑客所做的所有尝试。他们花费数小时寻找会损害应用程序功能的弱点,并向开发人员提出修复建议。
5.使用HTTPS
安全的 HTTP 连接可防止黑客侵入您的网站与用户之间的通信。使用非 HTTPS 通信,攻击者可以诱骗用户提供敏感信息或向服务器发送恶意软件/可执行代码。如果您的业务应用程序处理支付信息等敏感数据,您将不得不投资购买高质量的SSL 证书,以强制所有网站的加密协议与浏览器通信。
6.部署 Web 应用程序防火墙 (WAF)
根据 Web 应用安全统计报告,平均 146 天修复关键漏洞。这是黑客尝试不同攻击方法的五个月。更改它以保护您的网站。Web应用程序防火墙 (WAF) 旨在虚拟修补应用程序弱点(OWASP Top 10 和 SANS 25),同时监控和过滤流量。也称为第 7 层防火墙,它可以阻止利用跨站点伪造、跨站点脚本 (XSS)、文件包含和 SQL 注入的攻击,而无需更改应用程序的开发/代码。
AppTrana WAF(14 天试用):现代 Web 应用程序防火墙提供与扫描同步的托管安全性。AppTrana修补漏洞以阻止和监控攻击。它是一种智能防火墙,可以从频繁的攻击模式中学习并立即接受自定义阻止或记录规则。
7.监控流量激增
分布式拒绝服务 (DDoS) 攻击使用 多个受损系统或其他网络资源来压倒在线服务,使其不可用。任何网站都可能受到 DDoS 攻击。监控虚假流量激增并在损坏之前阻止机器人是管理 DDoS 攻击的唯一方法。建议定期验证您的网络和应用程序的安全性能。
使用此网站安全清单确保网站安全
- 使用 AppTrana Free 扫描它
- 更新所有软件
- 请求渗透测试
- 安装 SSL
- 通过 WAF 路由流量
