日前,Killnet黑客組織襲擊了意大利,使用的是一種舊的但仍然有效的攻擊方法,稱為“慢速http”。意大利計算機安全事件響應小組(CSIRT)隨即發布了一項緊急警報,以提高對國家實體遭受網絡攻擊的高風險的認識。
該事件再次引發了人們對http漏洞的關注。http協議雖然依舊是當前搭建網站的主流協議,但隨著互聯網技術的飛速發展以及如今日益嚴峻的網絡安全問題,http協議的不安全性也越發明顯,黑客攻擊http協議仍然是最常見方式,具體主要有以下幾種攻擊方式。
跨站腳本攻擊(XSS)
攻擊者通過各種方法偽造一個請求,模仿用戶提交表單的行為,從而達到修改用戶的數據,或者執行特定任務的目的。為了假冒用戶的身份,CSRF攻擊常常和XSS攻擊配合起來做,但也可以通過其它手段,例如誘使用戶點擊一個包含攻擊的鏈接。
跨站請求偽造攻擊(CSRF)
攻擊者通過各種方法偽造一個請求,模仿用戶提交表單的行為,從而達到修改用戶的數據,或者執行特定任務的目的。為了假冒用戶的身份,CSRF攻擊常常和XSS攻擊配合起來做,但也可以通過其它手段,例如誘使用戶點擊一個包含攻擊的鏈接。
http Heads攻擊
凡是用瀏覽器查看任何WEB網站,無論你的WEB網站采用何種技術和框架,都用到了http協議。http協議在Response header和content之間,有一個空行,即兩組CRLF(0x0D 0A)字符。這個空行標志著headers的結束和content的開始。只要攻擊者有辦法將任意字符“注入”到headers中,這種攻擊就可以發生。
Cookie攻擊
通過Java Script非常容易訪問到當前網站的cookie。你可以打開任何網站,然后在瀏覽器地址欄中輸入:javascript:alert(doucment.cookie),立刻就可以看到當前站點的cookie(如果有的話)。攻擊者可以利用這個特性來取得你的關鍵信息。假設這個網站僅依賴cookie來驗證用戶身份,那么攻擊者就可以假冒你的身份來做一些事情。
重定向攻擊
最常用的攻擊手段就是“釣魚”。釣魚攻擊者,通常會發送給受害者一個合法鏈接,當鏈接被點擊時,用戶被導向一個似是而非的非法網站,從而達到騙取用戶信任、竊取用戶資料的目的。
部署SSL證書保護網站信息安全
隨著互聯網的技術的不斷發展,http在黑客層出不窮的攻擊手段面前幾乎毫無招架之力,為避免數據泄露,保障網站和用戶信息安全,世界各國都督促其域內網站通過部署SSL證書的方式提升網站防護能力,尤其是涉及用戶個人信息和交易系統的政務、金融、電商等網站,則被要求部署更高等級的SSL證書。
部署SSL證書后,可通過SSL協議幫助網站從“http”進階為更加安全的“https”鏈接,通過開啟https綠色加密通道,可保障網站數據的加密傳輸,防止網站核心數據被竊取或篡改,使網站避免被黑客攻擊的可能。
同時,SSL證書可對網站服務器身份認證,為網站提供國際通用的信任背書,讓真假網站一目了然,從而有效避免釣魚、欺詐網站對用戶的侵害,增加訪客的信心。
此外,SSL證書還具有防止運營商的流量劫持,阻止彈窗廣告,提升網站在搜索引擎中的排名等諸多作用,是企業在數字化轉型過程中最基礎的安全防護工具之一。
需要強調的是,無論哪種網站,部署SSL證書都必須向依法設立的CA機構申請。成立于2000年的天威誠信是由工業和信息化部許可設立的電子認證服務機構,擁有國家授權的《電子認證服務許可證》《電子認證服務使用密碼許可證》,并通過了WebTrust國際安全審計認證。
根據不同用戶的需求,天威誠信可提供涵蓋Digicert、GeoTrust 、GlobalSign、Entrust在內的多品牌全類型SSL證書產品及安裝、管理等專業化服務,以及自主研發的支持國密SM算法的國產vTrus證書,致力于為中國企業提供更加安全的網絡空間防護保障。
