Web 攻击越发复杂，如何保证云上业务高可用性的同时系统不被入侵？| 专家谈( 三 )_如今

刘吉赟：目前的Web应用逐步API化，除了传统的Web攻击， API的安全问题、网络中的机器人流量的问题也日趋严重， Web应用安全从传统的SQL、XSS防护等，逐步开始向API安全， Bot机器人行为防护等防护技术过渡。

在Web攻防实战中最受关注的有四种攻击方式：一是植入webshell ，控制管理后台然后拖库；二是Web内容被恶意替换成违法违规的图片和文字；三是挂入黄赌网页、私服或跳转页面等倒量引流；四是竞品发动DDoS攻击致使业务瘫痪。

攻击技术、漏洞披露等日趋成熟，特别是针对Web安全相关漏洞的利用日趋产业化，企业需要更加重视如何在安全运营中进行快速响应，构建与之适应的安全运营体系。企业首先应该做好自查，全面完整的自我了解是企业实现Web应用安全防护的基础。同时，更应该尝试和接纳新兴技术，以显著提高对新型威胁和未知威胁的检测、防御效果。

Q：电商行业是网络攻击的高发行业，针对电商的常见攻击手段有哪些？

刘吉赟：一种是典型CC攻击，这是一种针对网页的攻击，原理是模拟多个用户正常访问目标网站，例如制造大量后台数据库的查询动作占用正常请求资源。 “鸡贼”之处在于，这种“访问”本身属于正常请求，但当这种“正常请求”达到一定程度的时候，服务器就会反应不过来直到宕机，也就是App会出现反应慢、账号登录不成功、无法下单、白屏等现象。这也是为什么每次购物节当大家忙着剁手的时候，各大电商的机房灯火通明，程序员软件硬件都用上外加紧张观察，就是怕服务器崩掉了带来惨重损失。