随着更多类似英国航空公司等愈来愈陡数据泄漏事件和其他攻击事件的暴光，各类网站和利用程序面临数据泄漏、僵尸程序管理、DDoS 攻击、API 安全等安全挑战，促使众多企业高管和 IT 专精人员更加重视网站和利用程序的安全策略，包括引入 GDPR(《通用数据保护条例》)、采取新的利用程序开发架构和框架等。这些措施使许多企业高管对其安全模型有效减轻 Web 利用程序攻击的能力表示极具信心。

　　但是，目前的现实是，针对网站和利用程序的攻击到达了创纪录的高度，敏感数据的共享比以往任什么时候候都多。有国外市场调查显示，33% 的网站和利用程序允许第三方通过 API 创建 / 修改 / 删除数据;1/3 的网站和利用程序与第三方共享敏感数据;67% 的人认为黑客可以穿透他们的网络;89% 的人认为网络抓取是他们知识产权的重大要挟;83% 的受访者正在启用 BUG 赏金计划，以找到他们网站和利用程序漏洞。与此同时，采取新兴框架和架构 (依赖于与多种服务的众多集成) 会增加复杂性并增加攻击面。

　　2017 年 11 月，OWASP 发布了 Web 利用程序中十大漏洞的新列表。黑客继续使用注入、XSS 和一些传统技术 (如 CSRF，RFI / LFI 和会话劫持) 来利用这些漏洞并获得对敏感信息的未授权访问。随着攻击来自可靠的来源，例如 CDN、加密流量或我们集成的系统和服务的 API，保护变得愈来愈复杂。机器人的行动与真实用户一样，可以绕过诸如 CAPTCHA，基于 IP 的检测等挑战，从而更加难以保护和优化用户体验。

　　因此，我们的 Web 利用程序安全解决方案需要更加智能，并且可以解决各种漏洞利用方案。除保护利用程序免受这些常见漏洞以外，它还需要保护 API 并减缓 DoS 攻击，管理机器人流量并辨别合法机器人 (例如搜索引擎) 和僵尸网络，网络抓取工具等。

　　一、DDoS 攻击

　　DoS 攻击通过耗尽利用程序资源使利用程序没法运行。缓冲区溢出和 HTTP 泛洪是最多见的 DoS 攻击类型，这类情势的攻击在 APAC 中更加常见。36% 的人认为 HTTP / Layer⑺ DDoS 是最难减缓的攻击。一半的企业采取基于速率的方法 (例如限制来自某个来源的要求数量或仅仅租赁基于速率的 DDoS 保护解决方案)，一旦超过阈值且真实用户没法连接，这些方法无效。建议参考桂哥网络香港高防服务器，其香港高防服务器基于先进的攻击检测和处理系统，可精准辨认 25 种以上的多种 DDoS/CC 变种攻击，并秒级触发清洗机制，可有效清洗高达 500Gbps 的大范围 DDoS 攻击，并保证合法流量的正常通过，即便 DDoS 攻击高峰期间也能保证你的网站和利用程序延续运行。桂哥网络香港高防服务器提供压力测试，提供防御无效退款许诺。

　　二、API 攻击

　　API 简化了利用程序服务的体系结构和交付，并使数字交互成为可能。不幸的是，它们还引入了广泛的风险和漏洞，成为黑客入侵网络的后门。通过 API，数据在 HTTP 中交换，双方接收、处理和共享信息。理论上，第三方能够从利用程序插入、修改、删除和检索内容。调查显示，62% 的受访者没有对通过 API 发送的数据进行加密;70% 的受访者不需要身份验证;33% 允许第三方履行操作 (GET / POST / PUT / DELETE)。这些都使黑客针对 API 发起攻击成为可能。

　　三、机器人攻击

　　好坏机器人流量的数量都在增长。企业被迫增加网络容量，并且需要能够从中准确地分辨出攻击流量和正常流量，从而保持客户体验和安全性。黑客可使用网络爬虫抓取你的网站和利用程序信息，包括你的定价信息、克隆你的网站代码、侵犯你的知识产权，和在你的促销活动时薅羊毛等。

　　四、数据泄漏

　　虽然绝大多数企业都密切关注他们搜集和共享的数据类型。但是，几近近半企业都曾遭受过背规行动。平均而言，一个企业每一年遭受 16.5 次背规尝试。大多数人花费数小时和数天才发现，乃至一直没有发现。从调查结果看，数据泄漏是最难以发现和解决的攻击。企业怎样发现数据泄漏 ? 启用异常检测工具、Darknet 监控服务、信息被公然泄漏、被勒索要求赎金等。

　　五、攻击影响

　　诸如利润受损、名誉损失、客户补偿、法律诉讼、客户流失和股价下跌等负面影响，并且修复公司名誉受损的进程很长，而且其实不总是成功。

　　六、确保新兴利用程序开发框架的安全

　　快速增长的利用程序数量及其在多个环境中的散布需要进行调剂，一旦需要对利用程序进行更改，就会致使变化。几近不可能在所有环境中有效地部署和保护相同的安全策略。虽然 93% 的企业使用 Web 利用程序防火墙 (WAF)，但只有三分之一使用的 WAF 结合了正面和负面的安全模型，以实现有效的利用程序保护。在使用云服务器的受访者中，有一半将数据保护评为挑战，其次是可用性保证、策略实行、身份验证和可见性。

　　其实，绝大多数企业对其网站和利用程序的安全性都存在盲目的自信，这是一种虚假的安全感。攻击方式在不断发展，安全措施并不是万无一失。具有利用程序安全工具和流程可以提供控制感，但它们极可能早晚会被破坏或绕过。另外，很多企业高管其实不完全了解其平常事件。他们期待他们的内部团队负责利用程序安全性来管理问题，但他们对企业的利用程序安全策略的有效性和实际风险暴露的看法之间仿佛存在脱节。

TikTok千粉号购买平台：https://tiktokusername.com/