服务器高防_如何解决_服务器被大流量攻击-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 服务器高防_如何解决_服务器被大流量攻击

服务器高防_如何解决_服务器被大流量攻击

小墨安全管家 2021-04-06 13:23 CC防护 89 ℃
DDoS防御
随着对CSRF的认识不断提高,爱护已成为使web应用程序联机的先决条件。在2013年OWASP前10名中,CSRF攻击从2010年的第5名落至第8名,而CSRF漏洞的流行率则从"普遍"改为"常见"。这绝对是一具好迹象,表明web应用程序更普遍地实施了CSRF爱护技术常见的是反CSRF令牌,这导致总体较低风险。如可是,当你看到反CSRF令牌在你的web应用程序中使用时,你不应该以为你受到CSRF攻击的爱护。编码/实现错误(如框架中缺少输入验证)和开放源码软件中的跨站点足本漏洞很常见,并导致应用程序易受攻击。CSC措施也不易出错。早在2012年,就连Facebook也遭遇了CSRF攻击,因为服务器上的反CSRF令牌处理不当侧面。新的CSRF漏洞示例在我发觉并描述的实际示例中,我展示了三个流行的开源程序中的实现错误:VanillaForums、Concrete5和Xoops。这些错误的发生有特别多缘由:web开辟人员大概没有正确地实现反CSRF令牌,或者他们没有正确地思量安全性,DDoS防御,或者他们注释掉了CSRF爱护代码错误。反-CSRF代币及其在CSRF预防想法中的作用,DDoS防御,同步器令牌模式是推举的想法,也是应用最广泛的预防技术。从互联网巨头Google、Facebook和Twitter到流行的开源web应用程序,比如WordPress和Joomla,这种模式是抵御CSRF攻击的最佳挑选。同步器令牌模式需要生成与用户当前会话关联的随机"质询"令牌(反CSRF令牌)。接着,这些质询令牌被插入到与敏感服务器端操作相关联的HTML表单和链接中。当用户提交表单或向链接发出请求时,请求中应包含反CSRF令牌。接着,服务器应用程序将在处理请求之前验证该令牌的存在性和正确性。假如令牌丢失或不正确,则请求将拒绝了。如何办为了始终测试您的实现,您能够在web应用程序中举行一些手动测试。您也能够使用web应用程序扫描程序,如Qualys web application Scanning,它将测试反CSRF令牌是否脚以爱护您的web应用程序免受CSRF的攻击攻击。再讲所以,您应该定期对web应用程序举行手动测试和/或扫描,因为开辟人员大概会注释掉CSRF令牌添加新的验证代码时意外特色。如何做Qualys测试CSRF预防措施Qualys Web应用程序扫描利用其内置的行为分析功能来测试Web应用程序中的CSRF爱护措施。它为应用程序创建两个独立的会话,每个会话都有自个儿的反CSRF令牌,接着将令牌从每个客户端发送到与另一具客户端关联的会话,从而模拟CSRF攻击。假如被控制的请求产生了有效的响应,这么这就意味着CSRF爱护措施不能正常工作。尽管测试特别简单,但在整个应用程序中自动测试CSRF预防措施并将其作为回归测试的一部分,这一能力依旧特别有价值的循环。结论毫无疑咨询,正真的现反CSRF令牌将爱护您的web应用程序当他们看到反CSRF令牌部署在web应用程序中时实现。即使一些web扫描程序在页面中发觉了反CSRF令牌,也会确定web应用程序不易受攻击。假如执行不正确,即使在网页中显示了反CSRF令牌,CSRF爱护想法也会失效,于是最好总是测试你的应用程序。真实的-世界各地的例子:我是怎么开始的我最近加入了一具赏金打算,与数千名其他笔试人员一起测试一具真正的商业web应用程序。玩了一段时刻后,我发觉有几个页面特别容易受到CSRF攻击,即使它们正在部署反CSRF令牌。在告知公司CSRF漏洞后,我得到了如此的回复:"特别好的发觉,我们在本月的某个地点删除了我们的检查CSRF代码,将尽快修复"我很惊奇,因为成千上万的笔测试人员正在处理那个咨询题,而当CSRF代码验证想法没有正真的施时,没有发觉那个咨询题。我唯一的推测是,当一些笔测试人员看到网络上浮上反CSRF令牌时,他们正放弃对CSRF漏洞的测试申请。那个激发了我的灵感,我在Qualys的测试实验室安装了一些流行的开源web应用程序,防DDoS,以检查不正确的反CSRF实现是否是web中的常见错误应用程序。没有花了太多时刻在上面,我发觉了三个流行的开源web应用程序,VanillaForum,Concrete5和Xoops。这三个应用程序如今都修复了代码。示例1: VanillaForumsVanillaForums是一具开源的轻量级互联网论坛,几乎有一百万个网站在使用它软件。证明的概念:POST/vanilla/index.php?p=/post/discussion HTTP/1.1主持人:你的主持人用户代理:Mozilla/5.0(Windows NT 6.1;WOW64;rv:33.0)Gecko/20100101 Firefox/33.0Accept:application/json,text/javascript,*/*;q=0.01答应语言:en-US,en;q=0.5答应编码:gzip,deflate内容类型:application/x-www-form-urlencoded;charset=UTF-8内容长度:142曲奇:SESSF226DBB6F3FC97FC972F2ABFCC3A38C504095=IT9HGOCPWKOKKRFTOLZXVEG9CQXHYTUH5HLD6AX_;香草tk=A413DB119D9BBD23;香草=1-1419475933%7C26Bded069C7992567CAC38C93B05B%7C1416883933%7C1%7C1419475933;香草挥发油=1-1417056733%7-1417056733%7CB827CB827ECAE627F5Fe622DFB184D2174FF%7C26D629C7957939 C79C79929292567CAC39C7907C141688393%7C1%7C1417056733;香草味Vv=1416883953连接:保持活动状态Pragma:无缓存缓存操纵:无缓存TransientKey=T4XEZV8VMRTR&hpt=&DiscussionID=&DraftID=0&CategoryID=1&Name=TestCSRF&Body=TestCSRF&Format=Html&Announce=1&DeliveryType=VIEW&Post_Discussion=Post DiscussionAnti CSRF令牌TransientKey用于防止CSRF攻击。然而,服务器端不对此令牌举行任何验证,这将允许攻击者触发治理员公布与其相同数量的讨论想要。之后把那个bug提交给vanilla论坛的开辟团队,我得到了如下的回复:"嗨,丹尼尔,看来我错过了2.1.5版本中的这个。我会为下一具版本预备一具补丁。"这在版本2.1.7中已修复。示例2:Concrete 5Concrete 5是一具开源的内容治理系统。依照它的网站,CC防御,它的使用量超过50万网站。证据ConceptPOST/concrete5.7.0.4/index.php/ccm/system/panels/details/page/composer/publish?ccm_token=141444654:c175d35c064a9d4ac0ab301193a4c660&cID=175 HTTP/1.1主机:yourhostUser Agent:Mozilla/5.0(Windows NT 6.1;WOW64;rv:31.0)Gecko/20100101 Firefox/31.0Accept:application/json,text/javascript,/;q=0.01Accept-Language:en-US,en;q=0.5Accept-Encoding:gzip,deflateContent类型:application/x-www-form-urlencoded;charset=UTF-8Content-Length:562Cookie:ConcreteSitemap active=;ConcreteSitemap focus=;ConcreteSitemap select=;ccm sitemap selector tab=sitemap;CONCRETE5=7UIK2epeijsn5Cq991RQ87DS1连接:保持有效pragma:无缓存缓存操纵:无缓存数据:ptComposer%5B13%5D%5D%5Bname%5D=CSRF&ptComposer%5B14%5D%5D%5D%5B日期未u时刻未将t%5D=2014-10-22&pt作曲家%5B14%5D%5D%5D%5B日期未u时刻未u u h%5D=8=8&pt作曲家%5B14%5D%5D%5D%5D%5D%5B日期u时刻u a%5D=PM&akID%5b119%5D%5D%5D%5D%5D%5D%5D%5D%5D%5D=San+Francico&akID%5B%5D%5D%5D%5D%5D%5D%atselectoptionId%5D%5B%5D=&ptComposer%5B17%5D%5B描述%5D=San+Francico&ptComposer%5B18%5D%5Bco内容%5D=%3Cp%3ESan+francico正如您能够找到的,它正在URL中使用反CSRF令牌ccm_令牌来防止CSRF攻击。但即使没有提交有效的ccm_令牌,请求也会经过,因为服务器端没有验证它。这是concrete5团队在我向他们发送我的调查结果后的回应:"特别大概,我们忘了检查它在某个地点是否有效"这在5.7.3.2版本中得到了修复。示例3:XOOPSXOOPS是另一具开源内容治理系统,依照wiki上的声明,它基本赢得了几个奖项。与Concrete5类似,它使用反CSRF令牌来防止CSRF攻击。然而,它也无法验证服务器上的反CSRF令牌侧面。证明ConceptPOST/phpTargets/xoops_2_5_7/htdocs的数量/pmlite.php文件HTTP/1.1版主持人:你的主持人用户代理:Mozilla/5.0(Windows NT 6.1;WOW64;rv:33.0)Gecko/20100101 Firefox/33.0答应:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8答应语言:en-US,en;q=0.5答应编码:gzip,deflate推举人:?发送=1Cookie:PHPSESSID=geg8jsmfai42rf3o1hlpgg6fn2;xoops_user54611943=0连接:保持活动状态内容类型:application/x-www-form-urlencoded内容长度:129数据:to_userid=1&subject=CSRF&icon=icon1.gif&message=CSRF&op=submit&XOOPS_TOKEN_REQUEST=9eb7cdce0d30de2cc972da715198f82&submit=submit参数XOOPS_TOKEN_请求被用作反CSRF令牌以防止CSRF攻击。但假如不存在此咨询题,则能够成功发送请求参数。那个

跨站点请求伪造(CSRF)是一种诱使受害者的扫瞄器执行攻击者设计的恶意请求的攻击。成功的CSRF攻击可迫使受害者的扫瞄器执行状态更改请求,如转移资金或更改其电子邮件地址。显然,这些攻击是必须的预防。减少常见但仍然是威胁

服务器高防_如何解决_服务器被大流量攻击


DDoS防御

当前位置:主页 > CC防护 > 服务器高防_如何解决_服务器被大流量攻击

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119