你的网站是黑客的活靶子吗?
你的网站是黑客的活靶子吗?
原文:https://medium.com/hackernoon/is-your-website-a-sitting-duck-for-hackers-4534ef6569ea
如果你的网站遭到黑客攻击,幕后的黑客可能会以你可能都没有意识到的方式对你的网站、你的数据库甚至你公司的声誉造成各种破坏。他们可以窃取个人信息和信用卡号码,关闭您的网站,破坏您的信息,在您的内容中注入恶意链接,使用您的服务器作为垃圾邮件的中继,在您的服务器上存储非法文件,安装间谍软件或间谍机器人来监视您的用户的活动……不胜枚举。这就是为什么你要问自己,你的网站是黑客攻击的目标吗?
然后,再来说成本。根据 2016 年 IBM 的一项研究, 数据泄露给一家公司带来的平均成本可达 400 万美元 。
你被黑的可能性有多大?根据 Javelin Strategy & Research 发布的一项身份欺诈研究,2015 年,1310 万美国消费者通过身份盗窃和网络犯罪被盗 。另一份身份盗窃报告引用了 2015 年 781 起数据泄露 。黑客和网络罪犯正在寻找薄弱的安全性。那么,你如何帮助保护你自己、你的客户和你的数据,并确保你的网站不会成为黑客攻击的目标呢?
保持软件最新
软件公司定期更新他们的程序,以确保他们不容易受到网络攻击。跟上这些系统更新很重要。你应该对应用程序和网站插件做同样的事情。您使用的软件、应用程序和插件中的安全层只有在您运行最新版本时才会保护您。
使用 SSL 证书
SSL 代表“安全套接字层”。就像它听起来的那样:一个安全层,保护在你的网站和网络服务器或数据库之间传递的信息。SSL 证书防止信息在传输过程中被读取,是标准的互联网安全协议。你如何知道一个网站何时使用 SSL?很简单——他们的 url 以 https://开头,而不是 http://。精明的消费者在通过网站上的任何形式或其他门户传递个人信息之前,肯定会寻找这一点。
使用 web 应用程序防火墙
web 应用程序防火墙为您的网站创建了第一道防线。这种类型的防火墙检查传入的流量,并剔除可疑或恶意的请求。
使用防病毒软件
您运行的程序可能有安全措施,但您需要尽可能多的保护。防病毒软件防止恶意软件导致的感染破坏您的数据库或程序。
伪装你的管理目录
你的管理目录是一座信息的金矿,黑客们很想得到它。黑客可以使用脚本扫描你的网络服务器上的目录,寻找名为“登录”或“管理”的文件和文件夹。所以,不要使用会泄露这些重要文件的名字。
使用表单时要格外小心
黑客可以通过几种方式影响你的网站或进入表单。因此,当您在站点上编程和使用表单时,请记住这些最佳实践。
总是检查通过表单提交的数据,并编码或去掉任何 HTML。黑客使用一种称为跨站脚本(XSS)的技术,他们尝试将脚本代码传递到 web 表单中,试图为您网站的访问者运行恶意代码。
你也应该禁用你网站上表格的自动字段,以防止黑客可能拥有某人的电脑或手机。自动填充功能将为他们提供所有需要的信息,窃取某人的身份,并造成严重破坏。
最后,当在你的网站上处理表单时,总是为你的 SQL 使用参数化查询。这将防止 SQL 注入攻击,这是最危险的网络漏洞之一。当黑客使用 web 表单字段或 URL 参数在您的查询中插入恶意代码时,就会发生这些攻击。结果对您的数据库可能是灾难性的。
注意你的错误信息是怎么说的
注意你在错误消息中泄露了多少信息。例如,如果登录信息不正确,您不想泄露哪个部分不正确。使用“错误的用户名或密码”这样的短语来模糊信息,这样黑客就不知道他们弄错了哪些表单字段。
重新考虑允许用户上传文件
允许用户上传文件可能会带来巨大的安全风险——即使是头像照片这样的小事。无论文件看起来多么微不足道,它都可能包含脚本,一旦执行,就会将您暴露给攻击者。
限制登录尝试的次数
多次登录尝试可能意味着有人拼命想记住他们的密码,或者有人拼命想进入。虽然对于那些似乎不记得自己登录凭证的人来说这可能令人沮丧,但限制登录尝试的次数是一种最佳做法。
网络安全性
你可以做上面列出的所有事情来保护你的服务器,但是如果你的网络上有人不小心的话,你仍然会变得脆弱。要保持网络安全,请执行以下操作:
- 扫描所有接入网络的设备,查找恶意软件
- 让密码在一定时间后过期
- 需要强密码
使用强密码
这个建议看起来很简单,但是“12345”不是一个可接受的密码。黑客使用各种策略来破解密码,这意味着使用强密码极其重要。确保您的密码至少有 12 个字符,并且是数字、符号和大小写字符的组合。您也不应该对多个站点使用相同的密码。如今的最佳实践包括想出通行短语(比如句子而不是单词),然后用数字和符号代替一些字母。例如,“timetowalkthedog”可以写成“t1m32W@1ktH3D0g!”(然后在开头、中间或结尾插入一些随机符号,只是为了更好地衡量)。这个短语作为一种记忆手段,然而这个密码很难破解。
如果您收集个人客户信息或经营电子商务网站,您有法律义务保护您的网站。作为企业主,确保您自己的系统安全无虞,确保黑客不会利用您的服务器进行非法活动,这符合您的最大利益。有很多可能造成的损害,所以要确保你的网站不是一个坐以待毙的目标。使用这些安全提示来保护它。
有更多问题吗?想知道你的网站和系统到底有多安全吗?如果你有更多的问题,我们随时恭候。 联系 RTS 实验室 的我们——我们随时准备进行有趣的对话!
