安全專家預計，到 2025 年，全球網絡犯罪成本將達到每年 10.5 萬億美元。僅在美國，數據泄露的平均成本就已經超過 900 萬美元，這讓企業主感到焦慮。雖然云采用解決了擴展、定制以及基礎設施維護和交付問題，但保護 Web 資產是在線業務的主要關注點。這是保護您的業務、客戶和交易免受黑客攻擊的指南。

7個網站安全清單

1.掃描網站的弱點

Gartner Group 估計超過 70% 的違規行為發生在應用層。Web 應用程序服務于眾多客戶和客戶。顯然，黑客在瞄準應用程序以破壞關鍵業務流程方面有更高的動機。自動Web 應用程序掃描是查找黑客可能針對的網站安全漏洞的最有效方法。這是保護商業網站的第一步。

AppTrana 基本掃描（永久免費）：提供每兩周一次的安全掃描，以查找OWASP 前 10 名和 SANS 前 25 名漏洞。您最多可以掃描網站的 250 個頁面，并接收有關 XSS、SQL 注入等安全問題的詳細報告。

2.保持軟件更新

這是顯而易見的，但卻被忽視了。軟件補丁在保護您的網站免受黑客攻擊方面發揮著至關重要的作用。這適用于您存儲桶中的所有內容，包括服務器操作系統、CMS 和公司使用的其他軟件。當在第三方應用程序中發現網站安全漏洞時，黑客會針對所有使用該軟件易受攻擊版本的網站。

許多開發人員以交付期限為由推遲更新。大規模的“WannaCrypt”勒索軟件攻擊是攻擊至少 150 個國家的計算機癱瘓并造成價值 40 億美元損失的一個例子。

3.驗證用戶數據

允許用戶向您的服務器發送或上傳任何內容是一個巨大的安全漏洞。從業務的角度來看，交互界面是高效的，但風險很高。即使是用戶名字段中的簡單未清理字符串或圖像部分中的文件上傳也可能導致服務器停機。

您需要非常懷疑地對待所有用戶輸入，并確保只接受預定的輸入格式。確保您的防火墻阻止了各種可執行文件和其他用戶輸入。此外，完全禁止對服務器的物理訪問。

4.定期進行滲透測試

業務應用程序很復雜。后端/前端服務器和 API 中有幾個變量設置是您的業務獨有的。自動掃描工具有其局限性，特別是如果您的應用程序建立在不同的邏輯之上。

• 電子商務網站允許用戶將商品添加到他們的購物車，查看摘要頁面，然后付款。如果他們可以返回摘要頁面，保持相同的有效會話并為項目注入較低的成本并完成付款交易，該怎么辦？
• 用戶可以在他們的購物車中無限持有一件物品并阻止其他人購買它嗎？
• 用戶能否以折扣價鎖定購物車中的商品并在幾個月后購買？
• 如果用戶通過忠誠度賬戶預訂商品并獲得忠誠度積分但在交易完成之前取消怎么辦？

手動滲透測試或道德黑客攻擊復制了黑客所做的所有嘗試。他們花費數小時尋找會損害應用程序功能的弱點，并向開發人員提出修復建議。

5.使用HTTPS

安全的 HTTP 連接可防止黑客侵入您的網站與用戶之間的通信。使用非 HTTPS 通信，攻擊者可以誘騙用戶提供敏感信息或向服務器發送惡意軟件/可執行代碼。如果您的業務應用程序處理支付信息等敏感數據，您將不得不投資購買高質量的SSL 證書，以強制所有網站的加密協議與瀏覽器通信。

6.部署 Web 應用程序防火墻 (WAF)

根據 Web 應用安全統計報告，平均 146 天修復關鍵漏洞。這是黑客嘗試不同攻擊方法的五個月。更改它以保護您的網站。Web應用程序防火墻 (WAF) 旨在虛擬修補應用程序弱點（OWASP Top 10 和 SANS 25），同時監控和過濾流量。也稱為第 7 層防火墻，它可以阻止利用跨站點偽造、跨站點腳本 (XSS)、文件包含和 SQL 注入的攻擊，而無需更改應用程序的開發/代碼。

AppTrana WAF（14 天試用）：現代 Web 應用程序防火墻提供與掃描同步的托管安全性。AppTrana修補漏洞以阻止和監控攻擊。它是一種智能防火墻，可以從頻繁的攻擊模式中學習并立即接受自定義阻止或記錄規則。

7.監控流量激增

分布式拒絕服務 (DDoS) 攻擊使用 多個受損系統或其他網絡資源來壓倒在線服務，使其不可用。任何網站都可能受到 DDoS 攻擊。監控虛假流量激增并在損壞之前阻止機器人是管理 DDoS 攻擊的唯一方法。建議定期驗證您的網絡和應用程序的安全性能。

使用此網站安全清單確保網站安全

• 使用 AppTrana Free 掃描它
• 更新所有軟件
• 請求滲透測試
• 安裝 SSL
• 通過 WAF 路由流量