您網站內的功能、技術基礎結構以及用於建構的代碼,都不斷受到試圖想破壞您企業的有心人士攻擊。
了解這些類型的攻擊可以防止您免於詐欺、數據盜竊和爬蟲攻擊等事件侵擾,同時提供關於如何保護您企業的重要資訊。
請記住,任何網頁應用程式防火牆(WAF)和 API 防護 (WAAP)都應防止多數或所有這些類型的攻擊,而非只關注特定類別。
以下為網頁應用程序常受到的15種攻擊類型:
#1 OWASP Top 10 Web Attacks
透過網頁應用程序的代碼漏洞達成資料竊取、中斷營運,造成企業損失。
補充:OWASP Top 10 是一項網路安全意識標準,讓開發人員了解最關鍵的Web應用程序安全風險。
攻擊者:犯罪份子
解決方案:網頁應用程序防火牆
OWASP Top 10 Web Attacks
- 注入攻擊
- 無效身分認證
- 敏感資料外洩
- XML外部處理器漏洞 (XXE)
- 無效的存取控管
- 不安全的組態設定
- 跨站攻擊 (XSS)
- 不安全的反序列化漏洞
- 使用已有漏洞的元件
- 紀錄與監控不足風險
#2 OWASP Top 10 API Attacks
透過 API 漏洞造成服務中斷、數據外洩,影響企業營運。
補充:OWASP Top 10 列出最核心的API應用程序安全風險,使開發人員了解可能漏洞資訊。
攻擊者:犯罪份子
解決方案:API 保護
OWASP Top 10 API Attacks
- 不安全的物件授權
- 無效身分認證
- 資料暴露不當
- 缺乏資源與速率限制
- 無效功能權限控管
- 批量配置不當
- 不安全的組態設定
- 注入攻擊
- 版本控管不當
- 紀錄與監控不足
#3 – 6 DDoS攻擊(包含DDoS勒索攻擊)
• DDoS of IP address • DDoS of Website
• DDoS of Network • DDoS of DNS
利用殭屍網路對目標發起大量流量,使網路連接阻塞,進而導致如網頁應用程序、DNS癱瘓而無法訪問。
攻擊者:犯罪份子、競爭者
解決方案:DDoS保護
#7 – 10 自動機器人攻擊
• 憑證填充/字典攻擊 • 惡意爬蟲
• 搶帽交易 • 其他18種獨特的機器人攻擊
在網路上運行自動化任務的軟體應用程式,並利用網站的發布功能填入廣告與使用爬蟲抓取價格,以反競爭或犯罪的方式濫用在企業與客戶上。
以搶帽交易為例,利用自動機器人購入限量商品,再轉手以更高價格售出,賺取利潤。
攻擊者:犯罪份子、競爭者、商業夥伴
解決方案:Bot保護
#11 客戶端攻擊
利用使用者與其訪問的網站之間的信任關係,導致連續即時的單一紀錄資料被竊取。常見的形式有XSS、點擊挾持、跨站請求偽造。
以點擊挾持為例,攻擊者創建一個不可見的元素欺騙用戶點擊而跳轉至假頁面,使用戶相信該頁面並輸入資訊 ( 如電子郵件的密碼等 ),導致資訊遭竊取。
攻擊者:犯罪份子
解決方案:客戶端保護
#12 – 13 供應鏈攻擊
• 軟體供應鏈 • JavaScript Services
以軟體發展人員和供應商為目標,目的是存取原始程式碼、建立程式或更新機制,透過感染合法應用程式來散佈惡意程式碼,進行企業剝削。常見的類型有表單劫持、magecart 、 Solarwinds。
攻擊者:犯罪份子
解決方案:客戶端保護、RASP
#14 過時應用程式的攻擊
因企業尚未準備好升級或考量更換時操作風險過高而留下的應用程式,通常會受到已揭露的漏洞攻擊。如被有心人士利用過時應用程序中專有代碼內易受攻擊的代碼及未受保護的內部應用程序所造成的內部威脅。
攻擊者:犯罪份子
解決方案:RASP
#15 無伺服器架構的攻擊
無伺服器(Serverless)架構,並非不再需要伺服器,而是用戶不必擔心伺服器的佈建與營運,運算資源以服務的形式呈現。
透過公用雲中無伺服器架構的的脆弱代碼進行攻擊,常見的類型有注入攻擊、無效身分驗證和不安全的佈署配置。
攻擊者:犯罪份子
解決方案:無服務器保護
Imperva 如何協助阻止攻擊
Imperva Application Security 提供多層次的保護,從應用程序到網站皆可應用。WAAP 旗艦產品解決方案從多方位領先市場產品的平台為您阻止網路安全威脅,包含:網頁應用程序防火牆、API保護、DDoS保護、Bot保護、客戶端保護、RASP、無服務器保護。
關於 Imperva
Imperva是網路安全的領導者,保護數據與通往數據的所有途徑,研究實驗室和全球的情報社群使 Imperva 在威脅領域保持領先,無縫整合最新安全、隱私和合規性專業知識,並納入 Imperva 的解決方案。
如何簡單的保護您的企業
若想獲得免費試用30天的 Imperva 的雲應用安全平台,請點選下方按鈕聯絡我們。
想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊