什麼是 Web 應用程式安全性？

什麼是 Web 應用程式安全性？

Web 應用程式安全性是任何網頁式業務的中心元素。網際網路的全球特性將 Web 資產暴露於來自不同位置與各種規模和複雜度層級的攻擊。Web 應用程式安全性專門處理網站、Web 應用程式及 Web 服務 (如 API) 周圍的安全性。

常見的 Web 應用程式安全性弱點有哪些？

從目標資料庫操縱到大規模網路中斷，都是針對 Web 應用程式的攻擊範圍。現在來探索一些常見的攻擊方法或經常遭到惡意探索的「向量」。

• 跨網站指令碼 (XSS) - XSS 這種弱點允許攻擊者將用戶端指令碼插入網頁中，以便直接存取重要資訊、假冒成使用者或藉由欺騙使用者來竊取重要資訊。
• SQL 資料隱碼攻擊 (SQi) - SQi 這種方法能讓攻擊者以資料庫執行搜尋查詢的方式鑽漏洞。攻擊者使用 SQi 取得未授權資訊的存取權限、修改或建立新的使用者權限，或是操縱或毀損機密資料。
• 阻斷服務 (DoS) 和分散式阻斷服務 (DoS) 攻擊 - 透過各種向量，攻擊者能夠使用各種類型的攻擊流量，讓目標伺服器或其周圍的基礎結構過載。當伺服器再也無法有效處理傳入的要求後，就會開始表現遲緩，最終對合法使用者傳入的要求阻斷服務。
• 記憶體毀損 - 若不小心修改了記憶體中的位置，造成軟體有可能產生意外行為，就會發生記憶體毀損。惡意執行者將會透過惡意探索 (例如程式碼插入或緩衝區溢位攻擊)，嘗試發現並利用記憶體毀損。
• 緩衝區溢位 - 緩衝區溢位是一種異常情況，當軟體將資料寫入到記憶體中稱為緩衝區的限定空間時，就會發生。緩衝區空間的溢位會造成鄰近的記憶體位置遭到資料覆寫。此行為會遭到惡意探索，用來將惡意程式碼插入記憶體中，讓目標機器可能因此產生弱點。
• 跨網站偽造要求 (CSRF) - 跨網站偽造要求涉及欺騙受害者，進行利用其驗證或授權的要求。藉由利用使用者的帳戶權限，攻擊者能夠傳送假冒成使用者的要求。使用者的帳戶遭受入侵後，攻擊者就能外洩、銷毀或修改重要資訊。權限高的帳戶 (例如管理員或行政主管) 通常會成為目標。
• 資料外洩 - 與特定的攻擊向量不同，資料外洩是一般詞彙，指稱敏感或機密資訊洩露，可透過惡意行為或因失誤而發生。被視為資料外洩的範圍相當廣泛，可能由幾個重要性高的記錄組成，一路累積為上百萬個遭到外洩的使用者帳戶。

什麼是緩解弱點的最佳做法？

保護 web 應用程式免遭惡意利用的重要步驟包括使用最新的加密、要求進行適當驗證、持續修補發現到的弱點，以及具有健康的軟體開發環境。事實是，即使在相當強大的安全環境中，更聰明的攻擊者也能找到弱點，因此建議採用全面的安全性策略。

可以通過防禦 DDoS、應用程式層和 DNS 攻擊來改善 web 應用程式安全性：

WAF - 針對應用程式層攻擊提供保護

web application firewall 或 WAF (Web 應用程式防火牆) 可協助保護 Web 應用程式，以免遭受惡意的 HTTP 流量。透過目標伺服器和攻擊者之間的篩選屏障，WAF 能夠提供保護，以防攻擊，例如跨網站偽造要求、跨網站指令碼和 SQL 資料隱碼攻擊。進一步瞭解 Cloudflare 的 WAF。

DDoS 防護

中斷 web 應用程式的一種常用方法是使用分散式阻斷服務（ DDoS）攻擊。Cloudflare 透過各種策略在不損失服務的情況下緩解 DDoS 攻擊，包括在我們的邊緣丟棄巨流量攻擊的流量，並使用我們的 Anycast network 適當地路由傳送合法要求。瞭解 Cloudflare 可以如何協助您保護 web 資產以防御 DDoS 攻擊。

DNS 安全性 - DNSSEC 保護

網域名稱系統或 DNS 是網際網路的電話簿，呈現網頁瀏覽器等網際網路工具查詢正確伺服器的方式。惡意執行者將會透過 DNS 快取中毒攻擊、在途攻擊和其他干擾 DNS 查詢生命週期的方法，嘗試劫持 DNS 要求流程。若 DNS 是網際網路的電話簿，則 DNSSEC 就是無法詐騙的來電者 ID。探索您可以如何使用 Cloudflare 保護 DNS 查詢。