Preventable But Often Ignored, Web App Attacks Expand Their Reach

本可预防但常常被忽视的 Web 应用程序攻击的范围正在不断扩张

作者 Teresa Meek

窃取数据或破坏网站的 Web 攻击已存在超过二十年。尽管很容易预防,但它们仍然会引起问题,而且问题也会更频繁地发生。

根据 Akamai Technologies 在其《互联网现状/安全报告》中发布的第二季度数据显示,去年,黑客通过在表单字段中键入代码来进入网站发起的攻击在全球增加了 25 %。美国是迄今为止最大的目标,仅在第二季度就发生了 2.18 亿起。

公司面临着损失数据、客户和收入的风险,除非采取预防措施。

Preventable But Often Ignored, Web App Attacks Expand
Akamai 最近的一份报告表明 100 毫秒的加载时间延迟就会造成销售额下降多达 7%。

Web 应用程序攻击类型

Web 应用程序攻击在网站的交互部分插入代码,从而导致服务器发布数据或执行破坏的文件。它们具有多种形式,每种形式都会以各自方式损害您的业务。

跨站点脚本攻击或 XSS 插入会破坏网站或将用户重定向到虚假网站的代码,从而使黑客窃取其凭据。几年前,eBay 发生过此情况。Akamai 报告显示,XSS 攻击在上一季度占 Web 应用程序攻击的 9 %。

此外,常见的还有本地文件包含或 LFI 攻击,其在第二季度的 Web 应用程序攻击中占到 33 %。在这些攻击中,黑客在交互字段中添加代码命令,从而请求访问 Web 服务器上的敏感文件。在某些情况下,LFI 攻击会执行恶意代码。

Web 应用程序攻击中最常见且最严重的类型是 SQL 注入或 SQLi,其在第二季度的 Web 应用程序攻击中占 51 %。在这些攻击中,黑客键入可强制服务器显示数据库中存储信息的命令。

SQLi 如何造成损害

在寻找要窃取的数据时,SQLi 攻击会占用服务器资源。这会造成包括客户在内的其他人查找信息,从而使加载速度更缓慢。延迟可能仅会持续几毫秒,但对于黑客而言却是足够长的时间。

“如果页面以 30 到 100 毫秒的速度加载,而不是 10 到 20 毫秒的速度,则短暂的延迟足以使企业付出成本高昂的代价,”Akamai Technologies 企业副总裁兼总经理 John Summers 说道。“如果您是在销售产品,则客户将在其他地方找到产品。这意味着会损失数百万美元。”

Akamai 最近的一份报告表明 100 毫秒的加载时间延迟就会造成销售额最多下降 7%。两秒的延迟会使导航到其他网站的人数翻倍。

还有很多担心的情况。在流失客户的同时,攻击还从数据中提取信息。每次攻击可能只会返回少量信息。但黑客通常会发起多次攻击,直到他们提取数据库的整个内容。

攻击可以窃取客户的用户名和帐户密码,并访问其浏览和购买历史记录。如果公司没有对信用卡信息进行加密,它还会获取卡信息。

一般而言,攻击不会窃取加密的数据。但是,如果网站开发人员未正确地存储加密密钥,黑客可能会找到它并使用它下载信用卡号和其他隐私信息,Summers 说道。

抵御攻击

公司可以轻松地阻止 Web 应用程序攻击。一种方法是对其站点进行编程,以防将计算机命令语言插入到客户响应字段。另一种方法是安装 Web 应用程序防火墙。

如果访客来自通常不开展业务的地区,这些防火墙会扫描网站流量并提醒公司。

“如果您的客户群 99% 是欧洲人且突然获得来自澳大利亚的流量,您应该采取措施,”Summers 说道。

Akamai 的防火墙系统可对异常流量进行扫描,还可对单独的 IP 地址进行评分,从而为其他攻击中涉及到的地址提供高风险评分。一旦发出可疑流量警报,企业可以在批准交互之前进行其他欺诈控制。

针对 Web 应用程序攻击采取预防措施并不难,但很多企业没有投资足够的资源来使这些措施生效。其他人无法对其站点进行重新评估,无法跟上不断变化的威胁形势。

“这需要时间、精力、金钱和意志,且缺一不可,”Summers 说道。

同时,黑客在网上搜索易受应用程序攻击的网站。他们甚至还有一种工具,可以自动查找可对其进行 SQLi 攻击的页面。YouTube 视频中介绍了如何使用这款工具。

在这种环境下,企业需要调整其优先级来针对 Web 应用程序攻击做好准备,而不仅是高调的攻击,如涉及分布式拒绝服务的攻击,Summers 表示。

“Web 应用程序攻击可占用资源,造成延迟,损失金钱,窃取客户数据并让您被报导,”Summers 警告说。“它们不会像 DDoS 攻击那样关闭您的系统,但从长远来看,它们对您的业务会产生很大影响。”

Teresa Meek 在西雅图生活和工作。她拥有 15 多年的通信经验,她还曾为《迈阿密先驱报》和《新闻日报》撰稿。

Related CIO Content