携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第21天，点击查看活动详情

网站污损攻击

什么是网站污损

网络污损是一种攻击，其中恶意方渗透网站并用自己的消息替换网站上的内容。这些消息可以传达政治或宗教信息，亵渎或其他不适当的内容，使网站所有者感到尴尬，或者网站已被特定黑客组织黑客入侵的通知。

大多数网站和 Web 应用程序将数据存储在环境或配置文件中，这会影响网站上显示的内容，或者指定模板和页面内容所在的位置。对这些文件的意外更改可能意味着安全受损，并可能表示污损攻击。

污损攻击的常见原因包括：

• 未经授权的访问
• SQL 注入
• 跨站点脚本 （XSS）
• 域名系统劫持
• 恶意软件感染

网站污损攻击示例

2018年英国国家卫生服务网站污损期间显示的消息。资料来源：英国广播公司](www.bbc.com/news/techno…

世界上一些最大的网站在某个时候受到污损攻击的打击。污损攻击是网站遭到破坏的公开指标，对品牌和声誉造成损害，这种损害在攻击者的消息被删除后持续很长时间。

NHS污损攻击

2018年，英国广播公司（BBC）报道称，由英国国家卫生服务局（NHS）运营的一个托管患者调查数据的网站被黑客破坏。污损消息说“被AnoaGhost入侵”。该邮件在几个小时内被删除，但该网站可能已被污损长达五天。这次袭击引发了人们对NHS控制的医疗数据安全性的担忧。

Google.ro 和 PayPal.ro

In 2012, users could not access Google Romania, and instead were taken to a defacement screen posted by MCA-CRB, the “Algerian Hacker”. The defacement was in place for at least an hour. The attack was performed by DNS hijacking—attackers managed to falsify DNS responses and redirect users to their own server instead of Google’s. The same attack was carried out against the domain paypal.ro. The MCA-DRB hacker group was responsible for 5,530 website defacements across all five continents, many of them targeting government sites.

格鲁吉亚历史上最大的网络攻击

In 2019, Georgia, a small European country, experienced a cyber attack in which 15,000 websites were defaced, and then knocked offline. Among the websites affected were government websites, banks, the local press and the large television broadcasters. A Georgian web hosting provider called Pro-Service took responsibility for the attack, releasing a statement that a hacker breaches their internal systems and compromised the websites.

网站污损预防：DIY最佳实践

以下是您今天可以实施的简单最佳实践，以保护您的网站并最大限度地减少成功污损攻击的机会。

使用最小特权原则 （POLP）

By limiting privileged or administrative access to your websites, you reduce the chance that a malicious internal user, or an attacker with a compromised account, can do damage. 

避免将网站的管理访问权限授予并非真正需要它的个人。即使对于网站管理员和 IT 员工等用户，也只能向他们授予执行角色所需的实际权限。仔细注意承包商和外部贡献者，确保他们不会获得过多的权限，并在他们停止在网站上工作时撤销他们的权限。

避免使用默认管理员目录和管理员电子邮件

Never use the default name for your admin directory, because hackers know the default names for all common website platforms and will attempt to gain access to them. Similarly, avoid using the default admin email addresses, because attackers will try to compromise them using phishing emails or other methods. 

限制附加组件和插件的使用

The more plugins or add-ons you use on platforms like WordPress, Drupal of Joomla, the more likely you are to face software vulnerabilities. Attackers may discover zero-day vulnerabilities, and even if a security patch is available, upgrades will not be instantaneous, exposing the website to risk. Needless to say, carefully maintain and upgrade all website plugins and quickly apply security updates.

错误消息

避免在您的网站上显示过于详细的错误消息，因为它们可以向攻击者揭示弱点，从而帮助他们计划攻击。

限制文件上传

Many websites enable users to upload files, and this is an easy way for attackers to penetrate your internal systems with malware. Ensure that user-uploaded files never have executable permission, and if possible, run virus scans on all files uploaded by your users. 

使用 SSL/TLS

始终在所有网站页面上启用 SSL/TLS，并避免链接到不安全的 HTTP 资源。当在您的站点中一致地使用SSL / TLS时，与用户的所有通信都是加密的，从而防止了许多类型的中间人（MITM）攻击，这些攻击可用于破坏您的网站。

先进的网站污损预防措施

虽然安全最佳实践很重要，但它们无法防止许多攻击。自动化安全工具使用以下技术来全面保护网站免受污损。

扫描漏洞

定期扫描您的网站以查找漏洞，并投入时间修复您发现的漏洞。这通常很耗时，因为升级网站平台或插件可能会破坏内容或网站功能。但这是提高安全性的最佳方法之一，特别是减少渗透和污损的机会。

防止 SQL 注入

确保所有窗体或用户输入都不允许将代码注入内部系统。清理输入以防止使用正则表达式或可用于执行代码的任何字符或字符串。

防御跨站点脚本 （XSS）

XSS enables an attacker to embed scripts on a web page, which execute when a visitor loads the page, and can result in defacement, as well as other damaging attacks such as session hijacking or drive-by downloads. 

清理输入有助于防止 XSS，并且应注意不要将用户输入或不受信任的数据插入到 HTML 代码中的

爬虫程序管理

大多数污损攻击不是手动针对性攻击的结果。相反，黑客使用机器人自动扫描大量网站的漏洞，当发现漏洞时，他们会自动破坏和破坏网站。黑客可以通过对数千或数百万个网站发起广泛的自动攻击来获得可疑的名声。

爬虫程序管理技术使用多种方法来缓解不良爬虫程序，例如：流量标头的静态检查;基于挑战的检测，通过要求机器人处理Javascript或与CAPTCHA交互来识别机器人;以及对网站访问者进行基于行为的检查，以发现机器人流量。这些技术可以防范恶意爬虫程序，确保合法流量可以不间断地访问您的网站。