防ddos攻击_linuxddos谨防_解决方案-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 防ddos攻击_linuxddos谨防_解决方案

防ddos攻击_linuxddos谨防_解决方案

小墨安全管家 2021-05-05 08:34 CC防护 89 ℃
DDoS防御

最近有特别多人向我们征求对于HTML5安全性的意见。Chris和我与Veracode研究团队讨论了潜在的攻击载体,最闻名的是Brandon Creighton和Isaac Dawson。以下是我们的一些方法。请记住,HTML5规范和实现仍在不断进展,非常是在安全方面,于是我们不应该以为这些基本上一成不变的。不要不记得对使用跨文档消息传递应用程序的源代码检查,假如消息接收方中的源代码检查不正确(或全然没有),则大概不安全。编写依靠postMessage()的应用程序的开辟人员必须认真检查以确保消息来自自个儿的站点,否则来自其他站点的恶意代码大概会欺骗恶意消息。只是,功能本身并不是固有的不安全;开辟人员基本使用各种DOM/browser功能来模拟跨域消息传递。那个窗口.名称属性被滥用,Javascript驱动的HTML注入和URL重写也是这样。甚至还有一具叫做easyXDM的跨平台JavaScript库为这些黑客提供了友好的界面。跨文档消息传递的一具亮点是,较旧的应用程序不大概受到这些咨询题的威胁,惟独新的应用程序是故意编写的依靠于该功能的。本地存储并不像您所想的那么有咨询题,CC防御,虽然在那个主题上流传了特别多FUD,但本地存储也许不大概带来重大的安全风险。除了Cookie之外,web应用程序经过使用插件(Java、JWS、Flash、Silverlight、Google Gears等)或扫瞄器扩展,在客户端存储数据的方式有特别多种——WebKit/Safari/Chrome甚至在成为HTML5的一部分之前就支持本地存储。开辟人员还应该意识到,按照目前的实现方式,HTML5 sessionStorage属性在某些事情下特别容易受到来自国外站点的控制。远程站点能够获得一具窗口的句柄,DDoS防御,该窗口包含扫瞄器在sessionStorage中包含其数据的站点。接着,DDoS防御,远程站点能够导航到该窗口中的任意url,而该窗口仍将包含其sessionStorage。希翼那个实现错误将在标准最后来确定时得到修复。新的标签增加了攻击面HTML5还将支持新的数据格式和标签,如和标签。扫瞄器对视频的支持意味着扫瞄器开辟人员如今必须解析历史上错误百出的文件格式。这增加了HTML5扫瞄器的攻击面,但对典型的web应用开辟人员没有阻碍。标记是一组复杂的功能,它混合了Javascript和与图像相关的函数,而且图像解析器在历史上向来存在漏洞。开辟人员应该警惕跨源Javascript请求另一具新特性集不是HTML5的直截了当组成部分,而是最近引入的,即对跨源Javascript请求的有限支持。历史上,Javascript代码不允许从任何主机请求页面,而不是为足本本身提供服务的页面;这是同源策略的一部分。可是,W3C当前的跨源资源共享草案提供了一种想法,能够使用类似于跨域.xmlFlash文件(即服务器决定哪些域能够访咨询它的资源)。Firefox、Safari和Chrome目前允许使用XMLHttpRequest发送跨域请求。在允许整个请求然后之前,扫瞄器首先使用OPTIONS想法(而不是GET或POST)发送探测请求。假如服务器用"Access-Control-Allow-Origin"报头响应此探测,则扫瞄器将使用请求的HTTP想法重新发送完整请求。这与W3C跨源资源共享的当前工作草案是一致的。只是,IE的工作方式不同。它没有放松对XMLHttpRequest的权限,而是使用了一具名为XDomainRequest的新对象类型。另外,它的探测不发送一具用选项代替常规HTTP想法的探测,而是包括原始的HTTP想法和请求体(在其他扫瞄器中,请求体被省略)。从安全角度来看,跨域请求特性实际上相当苦恼。如今,任何站点上的恶意代码都大概导致探测请求被发送到任何其他站点,包括所有要紧扫瞄器。开辟人员需要了解这两种探测类型,并确保他们的应用程序不大概被探测愚弄。幸运的是,cookies不大概在任何扫瞄器的探测请求中传递。更令人困惑的是,对于那个主题的一些官方文档包含了明显不安全的参考代码。例如,在XDomainRequest的MSDN页面中,提供了ASP代码,用于将"Access Control Allow Origin"头字段设置为"*"。这将允许任何远程站点从JavaScript针对该页面发出未经验证的请求,这关于大多数应用程序是不可取的。开辟人员需要确保他们了解创建一具过度许可的访咨询操纵列表的惊险。沙盒的安全性最后来会怎么实现取决于沙盒属性的定义。此属性允许开辟人员挑选怎么解释数据。不幸的是,这种设计和大多数HTML一样,特别容易被开辟人员误解,DDoS防御,同时为了方便起见特别容易被禁用。假如处理得当,它将有助于防止恶意第三方广告或其他任何答应不可信内容被重新播放的地点。始终记住输入验证开辟人员能够做的最重要的情况是记住差不多的安全原则,例如,所实用户输入都应被视为不可信的。他们应该了解新的HTML5特性是怎么工作的,以便理解他们在哪里会受到诱惑而做出错误的假设。


DDoS防御

当前位置:主页 > CC防护 > 防ddos攻击_linuxddos谨防_解决方案

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119